 | bravecoderV2EX 第 180758 号会员,加入于 2016-07-07 14:50:24 +08:00 |
bravecoder 最近回复了
2018-01-03 13:29:52 +08:00 回复了 zhgqthomas 创建的主题 分享创造 如何解决目前微信小游戏无法进行网络请求的问题 |
哈哈,赞,我就是这么调试的
把 session_id 提供给其他人 合适么 ……
2018-01-02 14:04:42 +08:00 回复了 xiqingongzi 创建的主题 微信 微信小程序源码包泄露?这个锅要 CDN 来背 |
@xiqingongzi 技术门槛的降低非常重要
其实 ‘ AI ’ 刷分已经在 v 站发布很长时间了,不过通过 POST 方式降低了技术门槛,让更多人能够操作
其实 ‘ AI ’ 刷分已经在 v 站发布很长时间了,不过通过 POST 方式降低了技术门槛,让更多人能够操作
2018-01-02 13:53:42 +08:00 回复了 zhgqthomas 创建的主题 Android 如何获得微信小游戏跳一跳源码 |
楼主整理总结的不错,刷分其实只是一个噱头,有意思的点最后还是需要落在技术上。
2018-01-02 13:49:38 +08:00 回复了 xiqingongzi 创建的主题 微信 微信小程序源码包泄露?这个锅要 CDN 来背 |
楼主的思路是对的。
1. 抓包得到的链接里是有鉴权码的,但是不带鉴权码也可以访问,说白了就是 CDN 的漏洞,资源访问验权失效
2. 小程序 wxapkg 文件也是可以从手机提取的,已经有人发帖子写出详细了
1. 抓包得到的链接里是有鉴权码的,但是不带鉴权码也可以访问,说白了就是 CDN 的漏洞,资源访问验权失效
2. 小程序 wxapkg 文件也是可以从手机提取的,已经有人发帖子写出详细了
2018-01-01 20:46:07 +08:00 回复了 bravecoder 创建的主题 分享创造 微信跳一跳 可以直接更改分数, POST 请求没有校验… |
@lrdcq 非常尴尬了,看来我 gist 里原始代码的链接需要纠正下了,原谅我没有去考据一下。既然贴了博客,我就去看看
2018-01-01 20:24:38 +08:00 回复了 bravecoder 创建的主题 分享创造 微信跳一跳 可以直接更改分数, POST 请求没有校验… |
@lrdcq 其实就是解压缩,这个早就有人研究过 https://share.whuboy.com/weapp.html
2018-01-01 20:06:56 +08:00 回复了 bravecoder 创建的主题 分享创造 微信跳一跳 可以直接更改分数, POST 请求没有校验… |
@yagnqionggo 非常有意思的点。我把原始请求头发上来你就应该明白啦,注意看 UA
-H 'Accept: */*' -H 'Accept-Encoding: gzip' -H 'Cache-Control: no-cache' -H 'Connection: Keep-Alive' -H 'Content-Type: application/octet-stream' -H 'Host: 123.125.9.32' -H 'User-Agent: MicroMessenger Client'
-H 'Accept: */*' -H 'Accept-Encoding: gzip' -H 'Cache-Control: no-cache' -H 'Connection: Keep-Alive' -H 'Content-Type: application/octet-stream' -H 'Host: 123.125.9.32' -H 'User-Agent: MicroMessenger Client'
2018-01-01 19:43:18 +08:00 回复了 bravecoder 创建的主题 分享创造 微信跳一跳 可以直接更改分数, POST 请求没有校验… |
@fe619742721 看防御成本,在成本允许的范围的,前端尽可能做混淆提高复杂度。没有其他好的办法,毕竟前端是代码和数据都在攻击方手里。
2018-01-01 18:38:03 +08:00 回复了 bravecoder 创的主题 分享创造 微信跳一跳 可以直接更改分数, POST 请求没有校验… |
@mason961125 哈哈哈,话说昨晚他们还升级了两个版本呢,今天一点动静都没有……
Select Language