从发现微信官方高危漏洞说起

在之前做微信公共账号的开发时，关于二维码的接口，需要开发者授权获得access_token然后才能请求参数生成二维码；

而微信电脑上阅读文章右侧的二维码，URL中的参数就是上述参数，而且会请求到开发者服务器，然后没有任何验证（现在已修复）。


再来说说遇到的奇葩的事情：

1. 在我提交漏洞到TSRC后，他们在30分钟内就把漏洞修复了，然后确认漏洞足足花了24小时；
2. 今天上午，一个叫rices@tsrc的人联系到我QQ，说让我谈谈对这个漏洞的理解，然后我提出打电话我给他解释，然后他拒绝了我的电话谈的请求说那个二维码只是一个名片吧？我回复：“你们昨天连夜修复了所以就别装不懂了”
3. 这个漏洞居然评级仅仅是中；

我来给大家解释下这个漏洞的危害性：
比如一家金融平台，有绑定微信的功能，那么一定是通过生成带参数二维码来绑定，只要知道用户UID就可以攻击到这个用户，针对微信公共号开发的功能（假如有消费／提现。。。后果很严重）全部操作都能访问到！
再如果是一家银行。。。。后果不敢想象

所以，这个肯定是高危漏洞！

大家以后有腾讯公司的任何漏洞，要么发乌云，要么发微博直接公开吧！千万别提交到TSRC，这帮人全是逗B。