收藏
回答

wx.login获取的code被批量制造,后台的用户数和数据库的用户数差距特别大?

我们小程序办了个增粉活动,这2天新增了几十万粉丝,但是微信后台才几万,查下去发现有很多非通过我们小程序直接调接口的(没有行为日志,却插入了数据),但是我们是有做用户限制的,只有真实的通过wx.login获取的code获取的openid才可以正常参加活动,查下去我们数据库中的用户数量确实是有几十万,看上去都是真实的账号,因为都是通过code才能插入的,但是微信后台才几万,我们继续核查下去,确实有几十万没昵称、没头像的,而参加我们活动是一定会授权这些信息并且入库的,所以这些数据像是批量制造了code 然后直接调用了我们的活动接口。可是这些code又都是真实有效的样子,请问是如何做到批量制造真实的wx.login的code的呢????现在有点不知道怎么防范

最后一次编辑于  2021-01-14
回答关注问题邀请回答
收藏

4 个回答

  • o_O
    o_O
    2021-09-17

    ipad协议被破了,可以获取任意小程序 loginCode

    2021-09-17
    有用
    回复
  • kokyou@小强
    kokyou@小强
    2021-06-16

    您解决了这个问题了吗?怎么解决的,能否分享一下,非常感谢!

    2021-06-16
    有用
    回复
  • @华
    @华
    2021-04-13

    我的系统也是,刚被攻击了,求官方解决,获得到用户的union_id 和open_id

    2021-04-13
    有用
    回复
  • .
    .
    2021-01-14
    你们的
    GET https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code
    这个不是在服务端调用的么?如果按照你所说的这个code,可以通过这个调用获得openID,那应该是微信的问题。如果是你们前端调用然后给后端发送openID应该是自己的bug吧。
    


    2021-01-14
    有用
    回复 5
    • 2333
      2333
      2021-01-14
      这个是后端调用,前端通过wx.login获取的code 传给后端,后端调这个接口,核实是真正的账号才会入库,但是现在就是对方批量制造wx.login的code 通过前端的接口传给后端,而不是通过进入小程序的方式,导致微信后台的日活和我们的数据库用户数差距太大了
      2021-01-14
      回复
    • .
      .
      2021-01-14回复2333
      按照你所说的话,那我觉得如果是微信端的bug可能是很严重的bug,急需微信尽快解决。如果你们要处理的话也很简单,在自己的小程序代码里不止传输code,传输一个非对称加密的安全包,确定数据来源为固定前端,也可以选择其他的加密方式,这样限制登录接口调用。
      2021-01-14
      回复
    • 2333
      2333
      2021-01-14回复.
      我们本身是有加密的,感觉整个小程序端被反编译了,代码和加密方式都暴露了
      2021-01-14
      回复
    • .
      .
      2021-01-14回复2333
      如果按照你的设想,那这个人要做的工作是 => 
      1.反编译你们小程序,获得你们的加密结果。
      2.按照微信加密算法获得可以通过微信验证的code(其中可能还要获得你们的appID,appSecret)。
      我觉得这样很离谱,甚至不合理。可以修改加密方式,进行加盐处理,使加密结果更加灵活。
      我觉得首先可能要做如果确定非自己小程序代码漏洞,调查公司内部,更换新的appID,appSecret。
      2021-01-14
      回复
    • zio
      zio
      2021-03-05回复.
      有appid就可以,想一下微信开发工具
      2021-03-05
      回复
登录 后发表内容
问题标签