收藏
回答

wx.login 中的code 可以“伪造”?

框架类型 问题类型 API/组件名称 终端类型 微信版本 基础库版本
小程序 Bug wx.login 客户端 未知 未知

昨天晚上 21 点 34 分左右,服务器涌入大量登录请求,这些请求的 UA 完全一致

  'user-agent' => 'Mozilla/5.0 (Linux; Android 6.0.1; C106 Build/ZAXCNFN5902606201S; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044304 Mobile Safari/537.36 MicroMessenger/6.6.7.1321(0x26060739) NetType/WIFI Language/zh_CN'

主要有一下几点疑问

  • 这些接口调用 login 方法得到了 Code,通过 Code 可以在微信 API 接口中获取到 OpenID,没有发生错误。

  • 上条是否可以判定这些 Code 就是正确的 Code?

  • 如果可以判定这些 Code 是正确的 Code,在一分钟内发送了大概 1w+的 Code 并且获取到了 OpenID,但这些所有的请求的 UA 完全一致,并且使用了‘ x-forwarded-for ’伪造了 IP,并且在mp的统计数据上并没有发现流量的剧增

以我的猜测,这些 Code 确实是正确的 Code,但是可能是从非法途径获取,通过这些 Code 批量请求

目前的解决方案,增加用户授权的操作,通过微信的 wx.getUserInfo 方法中 encryptedData 返回值判断。

这种方法增加了用户的操作,整体流程繁琐了,不知道大家有没有什么好的解决办法。


恳请微信官方人员关注这个问题,谢谢。



回答关注问题邀请回答
收藏

2 个回答

  • 社区技术运营专员-小柿子
    社区技术运营专员-小柿子
    2019-06-20

    请勿重复发帖,此贴先隐藏

    2019-06-20
    赞同
    回复
  • 陈式坚
    陈式坚
    2019-06-20

    估计碰上群控了,想知道你什么产品被薅了

    2019-06-20
    赞同 1
    回复 3
    • Snail
      Snail
      2019-06-21

      一个投票的小程序,被人这样搞刷票了,客服到现在也没有一点反馈

      2019-06-21
      回复
    • 陈式坚
      陈式坚
      2019-06-21回复Snail

      那防控确实要搞一下,道高一尺魔高一丈,这些鬼人真的牛逼

      2019-06-21
      回复
    • Snail
      Snail
      2019-06-21回复陈式坚

      防控也就只能加个授权用encryptedData验证一下,然后就是前端加sign,不过都掩耳盗铃,只是增加了难度

      2019-06-21
      回复
登录 后发表内容