羊了个羊 客户端暴露后台密钥 可以直接修改后台数据

2022-09-16 13:18:58 +08:00
 zhuweiyou
事实证明,产品赚不赚钱,跟程序员水平无关...

图 1 admin_secret





9502 次点击
所在节点    程序员
44 条回复
Ashore
2022-09-16 13:36:47 +08:00
哈哈哈 这可真是太淦了。。。
tankren
2022-09-16 13:41:51 +08:00
你这算不算恶意利用 哈哈
ranleng
2022-09-16 13:49:46 +08:00
啊哈哈哈哈哈哈 admin 的校验竟然不是后端做,笑死
zhuweiyou
2022-09-16 13:50:05 +08:00
@tankren 估计马上要修复了...
zhuweiyou
2022-09-16 13:50:55 +08:00
@ranleng 我猜测是白名单管理员 在手机端可以编辑管理地图 所以代码内置了一个账号 token...
zhlxsh
2022-09-16 14:03:42 +08:00
弱弱的问一句,怎么修改….
oygh
2022-09-16 14:05:36 +08:00
会不会这才是真正的玩法?
pC0oc4EbCSsJUy4W
2022-09-16 14:25:55 +08:00
已经大赚一波了,xmsl
kuxiaobai
2022-09-16 14:25:58 +08:00
挖洞游戏? ctf?
cweijan
2022-09-16 14:27:49 +08:00
牛逼..
charmToby
2022-09-16 14:28:59 +08:00
小程序本就防不住,小程序加密破解比 APP 容易多了。
kisshot
2022-09-16 14:32:29 +08:00
话说微博上说这小游戏已经转了上千万了 流量真这么好赚吗
andyskaura
2022-09-16 14:33:56 +08:00
哪位好兄弟能把通关次数得 api 翻出来
WIN2333
2022-09-16 14:37:11 +08:00
Macolor21
2022-09-16 14:45:39 +08:00
@kisshot 广告赚钱,30s 的观看,玩的人那么多,钱不少的
andyskaura
2022-09-16 14:57:57 +08:00
@WIN2333 #14 好家伙 都一条龙了吗
兄弟们 把 token 发我吧
laolaowang
2022-09-16 14:59:43 +08:00
@Macolor21 我说呢,这游戏没有充值地方,怎么能赚钱
wanmyj
2022-09-16 15:10:06 +08:00
iPhone 抓包已经看不到 token 了,应该是已经被修复了,反应还挺快
andyskaura
2022-09-16 15:16:02 +08:00
@wanmyj #18 能抓 退出去重进一次
c0t
2022-09-16 15:22:09 +08:00
@kisshot 只有小游戏的基本都没有充值的,有版号才能有充值入口,哪里是那么好搞的,甚至这个小程序还是

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/880541

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX