litaomn:有一些二维码活码限制了一个微信只能扫固定某一个二维码,猜测微信访问网页的时候生成一个 openid,这个 openid 跟二维码图片绑定。下次再扫描还是拿到同一张二维码。设想如果通过 hook 方式来伪造 openid 的话,是否可以突破这种限制呢?
ThisQ:我觉得没戏,openid 是服务器针对不同的公众号来生成不同的 id 的,如果给改掉之后应该就找不到对应的关系了。
noe132:理论上同一个用户,不同应用获取到对该用户的 openid 不保证一致
wxsm:一个 openid 是对应一个用户的,wx 通过它能知道你是谁,伪造的 openid 要怎么跟用户对应上呢?
QUIOA:是不是想搞刷赞刷票呀
Rekkles:
如果这都可以那腾讯可以倒闭了。
reus:用汗毛想都知道不可以
litaomn:@QUIOA 不是刷票,是想获取活码后台对应所有的二维码,现在只能通过买小号来解决问题,小号价格贵封得快,扛不住啊
kop1989:可以伪造,只要绕过二次跳转获取 code 》拿到 openID 的逻辑即可。
但按照你的描述,“某 openID 只能扫固定的某个二维码”。说明其系统中有 openid 与二维码链接的对应关系验证。也就是说你瞎填一个是不行的。必须得是符合其其他二维码对应关系的 openID 才行。
然后基本上就无解了。因为无感获取其他人的 openID 需要其在其的微信浏览器中获取一次性 code,附加 appid 与 appsecret 才能获取到。第三方技术服务的 appsecret 你是 100%拿不到的。
完结。
zhiyzellda:查了一下什么是 hook,我想说,这个关键要看是微信本地判断或是服务器端判断,服务器判断的话,你没有人家服务器的 root 密码,怎么 hook ?
他可能直接把 openid 传给服务器进行登记。根本不存本地。
litaomn:@kop1989 网页通过 snsapi_base 获取 openid,第三方应该不知道这个 openid 是不是合法的,获取到 openid 后,将 openid 随意改造一下,是否就可以突破呢
kop1989:@litaomn #10 确实可以改造 /替换,就诸如我说的。
但是第一,openID 不连续,第二,根据你的业务描述,openID 与二维码有关联关系。
所以除非暴力穷举所有 openID,否则做不到你说的“拿到所有二维码”这种结果。
kop1989:@litaomn #10 换句话说,其实聊到业务破解,就跟 openID 无关了,你完全可以通过直接爬接口灌参数的方式拿到二维码 。
yushiro:请看微信的文档,只要按照文档来,你是不可能拿到 openid 的,与 web 端无关。
lucifelx:openid 泄露与被伪造都没有任何影响,因为后端是向微信服务索要的 openid,只要客户端换取 accesstoken 的过程能保证安全,那么后端取到的 openid 必然是正确的。(大概这个意思,有段时间不做 wx 开发了)
litaomn:感谢各位大佬解答,死了这条心了
微信 安卓端新更的这个夜间模式适配有点辣眼睛哦pere:下面四个功能 tab 还是白的
微信这种等级的软件是如何实现全球用户在统一的数据库里,并且用户在不同的大陆能隔着老远发消息的?abcbuzhiming:微信,非死不可,WhatsApp,基本都接近实现了全球部署。我能猜到他们肯定需要在当地部署服务器进行就近服务,但是大部分在当地部署服务的网站 api 类应用,都是没有实现统一数据库的,即所谓的“国内国外用户分开”处理方式。但是这类超级 app 不仅实现了统一数据库(所有用户可视为在一个服)。还能在不同的大陆隔着老远发消息。统一数据库…
微信日常迷惑行为mahaonan1994:刚刚用文件传输助手记东西,突然发现提示"对方还不是你的朋友"
推一下自己的微信公众号语雀也可以hollwocg: 嘿嘿,闲着没事帮忙翻翻,点个在看之类的,让我挣个烟钱
求大神解答疑问!我在贝客新语买了个蛋糕,直接是用微信支付的,支付完成以后,美团的“吃喝玩乐在美团”公众号却给我发来了消息通知?LuBaQian:如图,我支付的时候,是直接点的微信右上角的+号,然后收付款,付完了,却收到了图二的消息,请问美团是咋知道我在贝客新语买了东西的呢? 微信支付订单里面的“联系商户”,点击了以后会跳转到美团的“吃喝玩乐在美团”的公众号,难道是贝克新语扫码的按个机器是美团家出的吗?