前段时间,因为可能要外派支援 xj,就试着远离 tg,准备使用微信推送接口,曾经体验用了一下 server 酱,后来觉得频率有限制,就放弃了,后来自己撸一个,利用 cf 反代企业微信应用推送到微信,然后就没用 server 酱了,今天突然收到一条方糖推送日记提醒消息,如下图,server 酱竟然私自调用我的 api 接口,这操作也太下饭了,没有经过我的允许,大半夜私自调用我的的 api 接口,给用户推送广告,如图:
特意去官网看了下,确实没有删除个人 key 的地方,如图,我当时只是网页测试了一下,我以为是临时性的,他竟然记录我的 key,还发广告,我还找不到删除的地方,我全部设置空白保存提示无法保存,最后还是去企业微信把应用 Secret 改了吧,
讲个更恐怖的事:我的是企业应用,是为多人服务的,我当时测试是推送给所有人,然后 server 酱直接把广告推送给所有人了,而且那个广告链接,这个连个授权都没有,用户只要点击链接就可以获得 sendkey,任何用户都可以利用 sendkey 直接推送任何消息,
下图为其他账号接受的信息(点击查看详情可以直接看到 sendkey 信息):
附上原本推送广告信息:
🎈 方糖推送日记提醒
📖 来写日记吧
<a href='https://sct.ftqq.com/auto/a8fb33eb25d7a45e562d19ccae81a6c3'>去 Server 酱查看详情</a>
珍爱生命,原理 server 酱**
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.