我们小程序办了个增粉活动,这2天新增了几十万粉丝,但是微信后台才几万,查下去发现有很多非通过我们小程序直接调接口的(没有行为日志,却插入了数据),但是我们是有做用户限制的,只有真实的通过wx.login获取的code获取的openid才可以正常参加活动,查下去我们数据库中的用户数量确实是有几十万,看上去都是真实的账号,因为都是通过code才能插入的,但是微信后台才几万,我们继续核查下去,确实有几十万没昵称、没头像的,而参加我们活动是一定会授权这些信息并且入库的,所以这些数据像是批量制造了code 然后直接调用了我们的活动接口。可是这些code又都是真实有效的样子,请问是如何做到批量制造真实的wx.login的code的呢????现在有点不知道怎么防范
相关问题
相关文档
- Raw code: Mini Program/Development/Extended/Ride Code/Raw code
- 3、 sample code: Mini Program/Development/Extended/Ride Code/Raw code
- 3、 sample code: Mini Program/Development/Extended/Ride Code/Scan Code Payment
- wx.login: 小程序/开发/API/开放接口/登录/wx.login
- wx.login mock: Mini Program/Development/Extended/Operating Guide/About Developer Tools/wx.login mock
楼主,这个问题最后解决了吗?
ipad协议被破了,可以获取任意小程序 loginCode
您解决了这个问题了吗?怎么解决的,能否分享一下,非常感谢!
我的系统也是,刚被攻击了,求官方解决,获得到用户的union_id 和open_id
你们的 GET https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code 这个不是在服务端调用的么?如果按照你所说的这个code,可以通过这个调用获得openID,那应该是微信的问题。如果是你们前端调用然后给后端发送openID应该是自己的bug吧。1.反编译你们小程序,获得你们的加密结果。
2.按照微信加密算法获得可以通过微信验证的code(其中可能还要获得你们的appID,appSecret)。
我觉得这样很离谱,甚至不合理。可以修改加密方式,进行加盐处理,使加密结果更加灵活。
我觉得首先可能要做如果确定非自己小程序代码漏洞,调查公司内部,更换新的appID,appSecret。