工单节点使用指南 请用平和的语言准确描述你所遇到的问题 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
这是一个创建于 2501 天前的主题,其中的信息可能已经有所发展或是发生改变。
昨天晚上 21 点 34 分左右,服务器涌入大量请求,这些请求的 UA 完全一致
'user-agent' => 'Mozilla/5.0 (Linux; Android 6.0.1; C106 Build/ZAXCNFN5902606201S; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.132 MQQBrowser/6.2 TBS/044304 Mobile Safari/537.36 MicroMessenger/6.6.7.1321(0x26060739) NetType/WIFI Language/zh_CN' 很奇怪,主要有一下几点疑问
- 这些接口调用微信小程序内部的 login 方法得到了 Code,通过 Code 可以在微信 API 接口中获取到 OpenID,没有发生错误。
- 上条是否可以判定这些 Code 就是正确的 Code?
- 如果可以判定这些 Code 是正确的 Code,在一分钟内发送了大概 1w+的 Code 并且获取到了 OpenID,但这些所有的请求的 UA 完全一致,并且使用了‘ x-forwarded-for ’伪造了 IP。
以我的猜测,这些 Code 确实是正确的 Code,但是可能是从 Q 控 /X 议里面批量得到的,然后某些人收购 Code,通过这些 Code 批量请求
目前的解决方案,增加用户授权的操作,通过微信的 wx.getUserInfo 方法中 encryptedData 返回值判断。
这种方法增加了用户的操作,整体流程繁琐了,不知道大家有没有什么好的解决办法。
第 1 条附言 2019 年 6 月 20 日
在微信 mp 后台的统计数据中中并没有发现流量激增数据
第 2 条附言 2019 年 6 月 20 日
关于怀疑是爬虫的我统一回复一下大家,这些请求是访问了项目的业务 API 的,并不是爬虫
 | 1 uqf0663 2019 年 6 月 20 日 既然 code 都能搞到了,getUserInfo 又有啥难度? |
 | 3 shoaly 2019 年 6 月 20 日 这还挺神奇的, 如何可以批量获取到 code 呢.. |
 | 5 csys 2019 年 6 月 20 日 via Android 不知道是你语言有问题还是我理解能力有问题 这些接口调用微信小程序内部的 login 方法得到了 Code 你不是已经知道 code 怎么来的了么 |
 | 6 Snailzzz OP @csys 抱歉,我表达有点不清楚,这些 Code 从正常流程来说,是微信小程序的开放方法 Login 获取到的,然后发送给后端,后端拿这个 Code 去微信那里请求获得 OpenID 等信息,但是同时这么多 Code 并且请求项目的后端的 UA 完全一致,小程序统计那里也没有人数的剧增 |
 | 8 leo108 2019 年 6 月 20 日 只要羊毛足够大,能调动万把微信号来薅羊毛的黑产多得是 |
| 10 leo108 2019 年 6 月 20 日 |
 | 11 yushiro 2019 年 6 月 20 日 via iPhone 我记得微信的文档里面是不建议把 openid 下发给客户端的,如果按照文档这样做,这个批量请求就没有价值了 |
 | 13 miaotaizi 2019 年 6 月 20 日 via iPhone 所以手机号什么的还是有必要的 |
| 16 uqf0663 2019 年 6 月 20 日 @shoaly 一点也不神奇,关键词“微信 ipad 协议”“微信安卓协议”有各种成品推广的软文,还有某些免费的试用版,可以自动批量聊天、管理群、加人、发红包抢红包、爬取朋友圈、公众号等各种原本是加密跟各种鉴权的操作。简单总结就是他们通过反编译微信的客户端,然后模拟微信客户端的各种操作。基于此自动获取小程序的 code 也不是啥难事,我猜测小程序的 code 的生成大概有两种可能,一种是本地通过特定的加密方式把一些信息加密,而微信的服务端解密得到这些信息再通过开发者的接口请求返回,另外一种是直接请求微信的服务端得到这个 code。。。无论哪一种看起来破解难度都很低。 |
| 17 Snailzzz OP @uqf0663 因为我之前接触过 Ipad/安卓 X 议,所以我感觉这是唯一一种可能了,我只是也是感觉 getUserInfo 相对于获取 Code 难度更高点而已 |
 | 21 johz 2019 年 6 月 20 日 很正常,微信官方爬虫 |
 | 22 hnch201414 2019 年 6 月 20 日 加个验证码的操作吧~ |
 | 23 dove1011 2019 年 6 月 20 日 可能是微信官方爬虫 |
 | 24 Felldeadbird 2019 年 6 月 20 日 按楼主的说法,code 都验证过,UA 一致。应该是被羊毛党盯上了吧。 试下统计 UA,短时间统一台 UA 要求机器人识别。 |
 | 25 Lax 2019 年 6 月 20 日 既然是小程序,UA 全都是微信浏览器不是挺正常的吗? |
 | 26 z0ne 2019 年 6 月 20 日 检查一下你的小程序调用的第三方 sdk 或者库的安全性。。 目前我的 sdk 都是放 github 上开源的,就是为了让开发者用的安心。 有的黑心 sdk 还是压缩混淆加密的,就是为了暗地里做些勾当。。 比如楼主这种情况,如果是第三方库,可以随时获取服务端的命令(获取 code )然后发送回服务端,这样对方就有了大量的 code~~ |
 | 29 anteros 2019 年 6 月 20 日 我怀疑你的的 code 或者 openid 下发到客户端了。又或者是员工测试暴露了,或者是数据库已经被人拿了 |
 | 31 AbrahamGreyson 2019 年 7 月 16 日 @Snailzzz 后续怎么样了,十分关注这件事,最终是如何防刷的。 |
| 32 Snailzzz OP @AbrahamGreyson 最终我们加上了授权登录 可以验证一下 官方态度一直很消极 最终也没有提出解决办法 |
 | 33 mrvv 2019 年 8 月 17 日 via iPhone 找到原因了吗,我很想知道伪造 code 是否存在 |
| 35 mrvv 2019 年 8 月 18 日 via iPhone 那你知不知道 code 产生的请求方法,按理说一个真实的微信才会产生一个真实的 code 啊 |
Select Language