收藏
回答

【重要】小程序后台工具生成小程序码,居然没有权限控制,不法之徒以此牵利。

框架类型 问题类型 操作时间 AppID
小程序 Bug 04-02 123


描述

1.我不是京东购物的开发人员

2.将卡片分享给机器人后,机器人可以拿到页面路径

3.【关键】直接用京东的appId+路径生成小程序码,就是抓包的后台生成接口。

问题:我不是 京东小程序的开发,但是我可以生成京东小程序码,生成小程序码应该有权限控制。


这类薅羊毛党,可以对用户收费,把小程序码挂载众包平台,完成砍价助力类似的活动。


回答关注问题邀请回答
收藏

3 个回答

  • 官方提示:
    官方提示:
    04-02

    一个get请求没什么吧,人家微信支付还把金额写get里你去破啊,自己写判断把

    04-02
    有用 1
    回复
  • Hoooooo!
    Hoooooo!
    04-02

    把小程序码看成二维码理解就行:

    用户可以拿网址,随意生成一个二维码

    用户可以拿路径,随意生成一个小程序码

    这个并不会有安全问题,所以也算不上BUG

    04-02
    有用
    回复
  • Eric
    Eric
    04-02

    如果自己小程序不想被生成,可以禁用搜索。

    这个工具非常实用,有它存在得价值。

    04-02
    有用
    回复 1
    • Raul
      Raul
      04-02
      工具实用且有价值,不可否认。 
      但我的问题是别人可以通过【appId+页面路径】利用管理后台的接口生成小程序码,小程序码应该只能由小程序的拥有者生成。
      微信官方提供的方码和圆码生成接口是需要secret的。
      04-02
      回复
登录 后发表内容
问题标签