微信内抽奖活动,被刷了,百度统计无数据,说明不是真机内的微信客户端?为啥能突破微信授权

2018-06-26 18:20:07 +08:00
 hahamy
流程:用户进入抽奖活动页面,获取微信 openid,限制一个 openid 一天只能只能抽奖 3 次(session 标识用户)

现象:发现这两天每天的新用户数有 5K 左右(数据库内记录的 openid 数),但百度统计一天只有一两百的 UV

排查:根据 IP 排查,发现有些 IP,一个 IP 有几十个不同的 openid 登陆,而且看 openid 应该是真实的
ipip.net 上查这些异常 IP,基本都是阿里云、美团云服务器的 IP

猜测:有人用工具在刷奖

问题:
1、百度统计没统计上,说明不是在微信浏览器内访问的活动页面,那怎么能授权成功,让我获取到 openid ?
2、如果是真机内的微信刷,那百度统计肯定会有数据?刷的人没必要屏蔽统计吧
3、这种刷奖是不是已经有成熟的技术了?通过养一批号来实现
2955 次点击
所在节点    问与答
15 条回复
zpfhbyx
2018-06-26 18:56:53 +08:00
群控了解一下
qiayue
2018-06-26 19:02:37 +08:00
如果是靠 session 来保存抽奖次数的话,他清掉 cookie,就可以一天抽奖无数次了。

建议抽奖次数和 IP 绑定,增加黑产成本。

抽奖被刷是必然的,一定要事先多做防御措施
iX
2018-06-26 19:16:36 +08:00
没统计上多正常,我 7*24 挂梯子,统计 /广告类域名见一个封一个。。
lttc119
2018-06-26 19:19:47 +08:00
窃取隐私而已,别问我为什么知道的,我也不知道我为什么知道的
flyz
2018-06-26 19:34:27 +08:00
赚客角度,明显被刷了。
hahamy
2018-06-26 19:34:56 +08:00
@zpfhbyx 群控就是那种一个机房成百上千台手机对吗,他们会屏蔽页面内的统计代码?
hahamy
2018-06-26 19:36:01 +08:00
@qiayue 微信授权拿到 openid 就确定了用户,清掉 cookie 进来还是能识别,所以只要是一个微信号,那么就只能抽 3 次
des
2018-06-26 19:49:26 +08:00
“而且看 openid 应该是真实的”
没有检测有效性的吗?
JmmBite
2018-06-26 19:56:36 +08:00
服务器 IP 不是应该都 ban 掉的吗?

或者:疑似 IP 一经触发,正常返回,但是不记入统计
hahamy
2018-06-26 20:15:45 +08:00
@des 为什么还要检查有效性?微信服务器返回的 openid,服务器间通信跟客户端无关,openid 并没有暴露给客户端
我说的应该真实,是说 openid 里的字符不像伪造的
hahamy
2018-06-26 20:16:14 +08:00
@JmmBite 没服务器 IP 库,所以程序里不好屏蔽啊,只能事后查
yuanfnadi
2018-06-27 01:07:16 +08:00
@hahamy 什么网站
Bantes
2018-06-27 10:30:32 +08:00
刷接口了吧? openid 什么的直接提交到你接口,不通过页面访问当然没 UV,现在群控都是上万号的,专门薅羊毛
hahamy
2018-06-27 15:21:36 +08:00
@Bantes openid 不是前端提交的,前端只有浏览器 session
不在微信浏览器内拿不到微信的授权,按理应该是真机访问,拿到 cookie id,传递 cookie id 刷接口,所以每天必须有第一次的访问 uv,而实际情况是完全没有 uv,这就是我疑惑的地方
hahamy
2018-06-27 15:22:37 +08:00
@yuanfnadi 就是个转盘抽奖的活动页面,单独开的二级域名

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/466047

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX