请问微信 openid 可以伪造吗

2020-09-30 12:25:28 +08:00
 litaomn
有一些二维码活码限制了一个微信只能扫固定某一个二维码,猜测微信访问网页的时候生成一个 openid,这个 openid 跟二维码图片绑定。下次再扫描还是拿到同一张二维码。设想如果通过 hook 方式来伪造 openid 的话,是否可以突破这种限制呢?
14463 次点击
所在节点    Android
34 条回复
killergun
2020-09-30 16:27:24 +08:00
这要是能伪造,微信程序员可以下岗了
quan01994
2020-09-30 16:29:49 +08:00
不能伪造,但是你可以获取啊,你可以网上买一波微信号,用于获取 openId 。
levon
2020-09-30 16:46:27 +08:00
能不能伪造跟你写的程序有关
annielong
2020-09-30 18:02:52 +08:00
看程序了,获取 openid 这个是没法伪造的,但是第三方程序不一定会验证这个是否合法,
newmlp
2020-09-30 18:09:31 +08:00
去看看微信开发文档就知道了
yepinf
2020-09-30 19:01:01 +08:00
@kop1989 请教下,如何模拟微信浏览器取跳转的 code 参数
EminemW
2020-09-30 20:31:50 +08:00
openid 是微信提供一个 token 给后端,后端在通过这个 token 与 appid 向微信服务器请求拿到 openid 。所以你破解方向不应该是 openid,
kop1989
2020-09-30 21:47:22 +08:00
@yepinf #26 不需要获取 code,因为 lz 的最终目的是编造非本机主的 openID 。说白了就是绕过 openID 获取机制而已。和 hack 微信的 openID 获取机制其实无关。
ebony0319
2020-09-30 23:09:29 +08:00
理论上不行,但是我见过黑产突然一下子(一两秒)一个地址多出十多万微信刷票,不知道怎么弄的。
zhiyzellda
2020-10-01 08:22:23 +08:00
@ebony0319 他自己就是內部員工吧,內鬼搞得。或者是內部人在黑市裡出售了工具。黑市用了 Tor,所以鵝厂高層也不知道是誰。
xuanbg
2020-10-01 10:23:49 +08:00
虽然一个用户有多个 openId,但这些 id 是和公共号一一对应的。你伪造的上哪里去对应?对不上就拿不到用户身份,就没法通过验证。
xuanbg
2020-10-01 10:26:04 +08:00
@ebony0319 这种大多是群控搞的,就是有几万台设备,一个设备上有若干账号,然后通过群控工具一下子给你投票。
eudore
2020-10-01 13:51:31 +08:00
可以伪造 openid,前提是你可以破解 hmac 的非对称加密。
ESeanZ
2020-10-09 10:09:39 +08:00
自己写一个微信服务不就好了吗?切图仔一个 想着自己手动写一个获取 openid 的服务(open_weixin_qq_com/connect/oauth2) 路由器吧域名解析到自己服务器上应该就可以了吧?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/711852

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX