rd.wechat.com 已经是骗子专用二维码接口了,随意传参就可以构造出各类验伪/认证二维码,给各类骗子的二维码场景提供保驾护航,说好的社会责任呢?当然,或许腾讯没有。

2020-12-17 14:17:16 +08:00
 manhere
举个栗子:

https://rd.wechat.com/qrcode/confirm?block_type=101&content=%E5%BA%97%E9%93%BA%E4%B8%BB%E4%BD%93%E5%90%8D%E7%A7%B0%3A%E5%B9%B3%E6%B9%96%E5%B8%82%E7%BB%92%E9%9B%AA%E6%9C%8D%E9%A5%B0%E6%9C%89%E9%99%90%E5%85%AC%E5%8F%B8%0D%0A%E6%8E%88%E6%9D%83%E5%BA%97%E9%93%BA%3A%E5%8D%97%E6%9E%81%E4%BA%BA%E7%BB%92%E9%9B%AA%E4%B8%93%E5%8D%96%E5%BA%97%0D%0A%E6%8E%88%E6%9D%83%E5%BC%80%E5%A7%8B%E6%97%A5%E6%9C%9F%3A2020-08-01%0D%0A%E6%8E%88%E6%9D%83%E7%BB%93%E6%9D%9F%E6%97%A5%E6%9C%9F%3A2020-12-31&lang=zh_CN&scene=4

类似的数不胜数。
1804 次点击
所在节点    全球工单系统
3 条回复
Sanko
2020-12-17 15:57:22 +08:00
manhere
2020-12-18 00:14:29 +08:00
@Sanko #1 这没用啊很多人不看,而且“不是腾讯提供”是有歧义的,域名页面都是腾讯的,出于安全考虑不应该有这种无需鉴权仅需传参的内容生成方式,这和 xss 没区别。
luckyle666
2022-02-24 21:56:34 +08:00
请教这个二维码怎么弄出来的?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/736359

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX