V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zhuweiyou
V2EX  ›  程序员

羊了个羊 客户端暴露后台密钥 可以直接修改后台数据

  •  5
     
  •   zhuweiyou · 2022-09-16 13:18:58 +08:00 · 9188 次点击
    这是一个创建于 560 天前的主题,其中的信息可能已经有所发展或是发生改变。
    事实证明,产品赚不赚钱,跟程序员水平无关...

    图 1 admin_secret





    44 条回复    2022-09-19 21:16:11 +08:00
    Ashore
        1
    Ashore  
       2022-09-16 13:36:47 +08:00
    哈哈哈 这可真是太淦了。。。
    tankren
        2
    tankren  
       2022-09-16 13:41:51 +08:00
    你这算不算恶意利用 哈哈
    ranleng
        3
    ranleng  
       2022-09-16 13:49:46 +08:00
    啊哈哈哈哈哈哈 admin 的校验竟然不是后端做,笑死
    zhuweiyou
        4
    zhuweiyou  
    OP
       2022-09-16 13:50:05 +08:00
    @tankren 估计马上要修复了...
    zhuweiyou
        5
    zhuweiyou  
    OP
       2022-09-16 13:50:55 +08:00
    @ranleng 我猜测是白名单管理员 在手机端可以编辑管理地图 所以代码内置了一个账号 token...
    zhlxsh
        6
    zhlxsh  
       2022-09-16 14:03:42 +08:00 via iPhone
    弱弱的问一句,怎么修改….
    oygh
        7
    oygh  
       2022-09-16 14:05:36 +08:00
    会不会这才是真正的玩法?
    fatelight
        8
    fatelight  
       2022-09-16 14:25:55 +08:00
    已经大赚一波了,xmsl
    kuxiaobai
        9
    kuxiaobai  
       2022-09-16 14:25:58 +08:00
    挖洞游戏? ctf?
    cweijan
        10
    cweijan  
       2022-09-16 14:27:49 +08:00
    牛逼..
    charmToby
        11
    charmToby  
       2022-09-16 14:28:59 +08:00
    小程序本就防不住,小程序加密破解比 APP 容易多了。
    kisshot
        12
    kisshot  
       2022-09-16 14:32:29 +08:00
    话说微博上说这小游戏已经转了上千万了 流量真这么好赚吗
    andyskaura
        13
    andyskaura  
       2022-09-16 14:33:56 +08:00
    哪位好兄弟能把通关次数得 api 翻出来
    WIN2333
        14
    WIN2333  
       2022-09-16 14:37:11 +08:00
    Macolor21
        15
    Macolor21  
       2022-09-16 14:45:39 +08:00
    @kisshot 广告赚钱,30s 的观看,玩的人那么多,钱不少的
    andyskaura
        16
    andyskaura  
       2022-09-16 14:57:57 +08:00
    @WIN2333 #14 好家伙 都一条龙了吗
    兄弟们 把 token 发我吧
    laolaowang
        17
    laolaowang  
       2022-09-16 14:59:43 +08:00
    @Macolor21 我说呢,这游戏没有充值地方,怎么能赚钱
    wanmyj
        18
    wanmyj  
       2022-09-16 15:10:06 +08:00
    iPhone 抓包已经看不到 token 了,应该是已经被修复了,反应还挺快
    andyskaura
        19
    andyskaura  
       2022-09-16 15:16:02 +08:00
    @wanmyj #18 能抓 退出去重进一次
    c0t
        20
    c0t  
       2022-09-16 15:22:09 +08:00 via Android
    @kisshot 只有小游戏的基本都没有充值的,有版号才能有充值入口,哪里是那么好搞的,甚至这个小程序还是
    c0t
        21
    c0t  
       2022-09-16 15:23:57 +08:00 via Android
    @kisshot 手滑了,甚至这个小程序还是挂在个人用户账号底下的,但是不妨碍千万流水啊
    mcluyu
        22
    mcluyu  
       2022-09-16 15:25:28 +08:00   ❤️ 1
    虽然不知道这个游戏是干啥的,但是通关好几次了🤣🤣
    brust
        23
    brust  
       2022-09-16 15:49:34 +08:00
    感觉这个后台接口像代码生成器生成的

    不明白有些人为啥这么热衷代码生成器生成接口,用不到的接口也不删
    hhjswf
        24
    hhjswf  
       2022-09-16 16:10:47 +08:00
    这源码是怎么泄露的
    PMR
        25
    PMR  
       2022-09-16 16:13:47 +08:00
    @hhjswf 前端源码 抓包就能看到
    james2013
        26
    james2013  
       2022-09-16 16:16:33 +08:00
    哈哈,这程序员水平也太差劲了
    leeggco
        27
    leeggco  
       2022-09-16 16:21:55 +08:00
    代码再烂也不妨碍赚几个亿啊,所以大家别卷了
    leegradyllljjjj
        28
    leegradyllljjjj  
       2022-09-16 16:25:56 +08:00
    人家赚了几千万了,这看上去比刀了我还难受
    hdp5252
        29
    hdp5252  
       2022-09-16 16:45:04 +08:00 via Android
    老了 不认识这软件
    ChevalierLxc
        30
    ChevalierLxc  
       2022-09-16 16:45:37 +08:00
    别人在赚钱,我们缺在这里帮着别人赚更多的钱
    HFX3389
        31
    HFX3389  
       2022-09-16 16:53:44 +08:00
    @kisshot #12 Pony 马不是说这是 PS 的吗
    silencil
        32
    silencil  
       2022-09-16 17:10:26 +08:00
    不要老是关注别人代码怎么样,各有各的需求,不能总是从自己擅长的方面去给人找茬;做这种游戏,不是每一款都能爆,量大才是硬道理,要做出批量的游戏,每一个都精益求精,成本暴增,如果一款都每爆,沉默的成本还更多了。
    echoZero
        33
    echoZero  
       2022-09-16 17:11:42 +08:00
    header 里面的 t 还可以拿到,直接提交成绩
    yaoliyc
        34
    yaoliyc  
       2022-09-16 17:15:22 +08:00
    不参与不讨论有些人不就赚不到了。
    CokeMine
        35
    CokeMine  
       2022-09-16 17:37:54 +08:00 via Android
    if (document.getElementById("password").value === "123456") alert ("登录成功")
    zapper
        36
    zapper  
       2022-09-16 17:42:08 +08:00
    无所谓。这个羊也火不了几天了,下一个“羊”还是这样的
    zr8657
        37
    zr8657  
       2022-09-16 17:45:10 +08:00
    @leegradyllljjjj 那个图是假的
    zhuweiyou
        38
    zhuweiyou  
    OP
       2022-09-16 20:30:49 +08:00
    @charmToby 小程序反编译脚本 GITHUB 一大把... 就算是 APP 也不能这么干
    nmap
        39
    nmap  
       2022-09-17 11:24:12 +08:00
    @zhuweiyou #38 公众号的程序能反编译吗
    zhaokangchen321
        40
    zhaokangchen321  
       2022-09-17 11:37:06 +08:00
    果然还是要创意抓住用户心理获得流量最挣钱。代码不需要多好
    zhuweiyou
        41
    zhuweiyou  
    OP
       2022-09-17 16:32:50 +08:00
    @nmap 公众号程序是部署在服务端的. 公众号->微信服务器->你的服务器. 不存在反编译. 如果你说的是菜单点进去的页面, 那是普通的网页, 本来就是公开的
    nmap
        42
    nmap  
       2022-09-17 21:10:45 +08:00
    @zhuweiyou #41 是这样的,最近接触了一个票贩子,可以在公众号上帮抢票,我猜测用上了逆向的技术
    cgtx
        43
    cgtx  
       2022-09-19 12:30:08 +08:00
    @zhuweiyou 第一张图是怎么得到的呀,我在 mac 抓 ios 的包,只有一些 api 的请求和小程序加密的请求。看不到对小程序前端的 html 请求
    zhuweiyou
        44
    zhuweiyou  
    OP
       2022-09-19 21:16:11 +08:00
    @cgtx 不是抓包,是反编译. 小程序解密的脚本 github 很多的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2922 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 11:13 · PVG 19:13 · LAX 04:13 · JFK 07:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.