收藏
回答

微信授权的code漏洞?

我们昨天在处理一起投票项目被刷票的人过程中,发现刷票的openid全部为合法内容,但是每秒可刷票几十次,用过查看服务器日志,发现有大规模的链接给程序传入code值(微信授权中,用code换取openid和微信用户信息的接口中使用的),并且大概有十分之一的概率可以获取到一个用户信息,其他的均为失败,怀疑有人通过code撞库,但是概率之高又不像随机撞库,所以感觉可能微信的code算法已经泄漏,请各位开发者注意这个问题。

回答关注问题邀请回答
收藏

5 个回答

  • 小程序技术专员-binnie
    小程序技术专员-binnie
    2020-09-08

    https://developers.weixin.qq.com/miniprogram/dev/framework/search/seo.html

    2020-09-08
    有用 1
    回复
  • 凌云
    凌云
    2021-06-10

    遇到同样场景的事情,微信code撞开应该是有问题的。

    2021-06-10
    有用
    回复
  • 祈雨
    祈雨
    2020-08-25

    +1,这个月遇到过类似的问题,短时间内大量合法微信用户授权注册,对这些异常流量的用户电话回访后,用户均表示近期未在我们平台有过授权注册的操作。

    2020-08-25
    有用
    回复
  • Cjiang
    Cjiang
    2020-08-25

    你好。有可能是爬虫,麻烦自行排查下看看。

    2020-08-25
    有用
    回复 4
    • 11月
      11月
      2020-08-25
      你好,我这边之前也有遇到类似的场景。都是合法的用户。在某一段时间内大量注册。
      2020-08-25
      回复
    • 11月
      11月
      2020-08-25
      我们这边也是需要先拿code通过button的获取手机号、个人信息API来进行用户快捷注册的。
      2020-08-25
      回复
    • Cjiang
      Cjiang
      2020-08-26回复11月
      麻烦发帖描述下具体信息哈。
      2020-08-26
      回复
    • 11月
      11月
      2020-08-26回复Cjiang
      你好,已经单独发帖。https://developers.weixin.qq.com/community/develop/doc/0000225e980e08f5cddacff3151800
      2020-08-26
      回复
  • 11月
    11月
    2020-08-25

    mark

    2020-08-25
    有用
    回复
登录 后发表内容
问题标签