VoteRobot
VoteRobot copied to clipboard
debugtalk
微信朋友圈投票活动的“刷票”案例分析。
我怀疑cookie 里的加密参数 就是openid 生成的 Cookie: PHPSESSID=d83ba0c675d9236131023970ca4decd2; 这样的你可有解决方案? 微信投票链接: http://tp.17gougougou.com/app/index.php?i=2&c=entry&rid=183&id=11802&do=vote&m=tyzm_diamondvote
昨天晚上搞到现在。 磐石投票,微信用户一人一票,弹出授权登陆界面,感觉流程是这样的: (三个端,手机端标记为A,第三方网站标记为B,微信服务器标记为C) (1) A访问投票网址url_1,B判断是否是微信浏览器(修改User-Agent简单绕过),不是微信浏览器则提示用微信浏览器登陆,否则进入(2)。 (2) B让A访问微信服务器C用于授权(如https://open.weixin.qq.com/connect/oauth2/authorize?appid=xxx&redirect_uri=httpxxx),此时C将用户的code通过Get参数传递给B的回调地址redirect_uri。B通过获取的code进一步处理。 (3) 我尝试了下绕过微信服务器,直接随机生成参数code调用redirect_uri,发现B获取code后,会进一步向C去验证。随机生成的code当然就出错了= = ,返回微信错误码40029:invalid code 所以就炸了。
http://socket.gstarcz.com/nvzhubo/vote.aspx?vid=56&code=061BCva12rrvgY0MPY8129hha12BCvaQ&state=1 点击投票的时候 它默认会从 微信 那边拉取 code。 这种是否属于已经过滤过的
在商家后台上调用微信的获取用户信息的接口,直接就可以鉴别出真假openId,一行代码就可以杜绝这种低级漏洞。并且可以记录投票者的用户名。一般在做微信二次开发的时候,都应该注意。
这是post信息 POST /app/index.php?i=6&c=entry&vote=1&rid=79&from_user=or2RAxNw2mmghhUcT4LddFuPkQCk&vcd=0&do=Tvotestart&m=fm_photosvote&up_voteer=undefined HTTP/1.1 那个from_user貌似和rid是绑定的
现在服务端那帮人也不傻,不会直接把 openid 给暴露出来了通过 client 端提交的数据来判断的,因为这样 client 端可以作弊,一般都是直接把 openid 话在 session 中,这样client 端没办法绕开微信的单点认证,这样只有一个微信帐号的话,就没有办法通过 openid 刷票了
