由于微信第三方接口的漏洞,一款乐动力的运动 APP 可以用来刷微信步数,原理很简单,伪造 POST 请求就可以了。
1.如需了解该漏洞的详细情况,请访问乌云平台关于此漏洞的报告:
http://www.wooyun.org/bugs/wooyun-2015-139632
2.刷微信步数的基本原理
乐动力可以绑定微信运动公众账号,用户可以使用它记录运动数据,比如步数,然后提交分数到微信运动,这个提交的过程是一个 post 请求,那么漏洞就在这里,由于没有做数据验证,提交的数据也都是明文的,所以只需要构造这个请求,修改其中的参数可以实现修改步数的目的了。
废话不多说,直接上代码:
Github :
https://github.com/tanteng/learn-python/blob/master/wechat-ledongli.py
具体参考:
http://www.tantengvip.com/2015/11/python3-wechat/
(有问题可以在本帖或博客上留言)
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.