V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zhuweiyou
V2EX  ›  程序员

羊了个羊 客户端暴露后台密钥 可以直接修改后台数据

  •  5
     
  •   zhuweiyou · 144 天前 · 8511 次点击
    这是一个创建于 144 天前的主题,其中的信息可能已经有所发展或是发生改变。
    事实证明,产品赚不赚钱,跟程序员水平无关...

    图 1 admin_secret





    44 条回复    2022-09-19 21:16:11 +08:00
    Ashore
        1
    Ashore  
       144 天前
    哈哈哈 这可真是太淦了。。。
    tankren
        2
    tankren  
       144 天前
    你这算不算恶意利用 哈哈
    ranleng
        3
    ranleng  
       144 天前
    啊哈哈哈哈哈哈 admin 的校验竟然不是后端做,笑死
    zhuweiyou
        4
    zhuweiyou  
    OP
       144 天前
    @tankren 估计马上要修复了...
    zhuweiyou
        5
    zhuweiyou  
    OP
       144 天前
    @ranleng 我猜测是白名单管理员 在手机端可以编辑管理地图 所以代码内置了一个账号 token...
    zhlxsh
        6
    zhlxsh  
       144 天前 via iPhone
    弱弱的问一句,怎么修改….
    oygh
        7
    oygh  
       144 天前
    会不会这才是真正的玩法?
    fatelight
        8
    fatelight  
       144 天前
    已经大赚一波了,xmsl
    kuxiaobai
        9
    kuxiaobai  
       144 天前
    挖洞游戏? ctf?
    cweijan
        10
    cweijan  
       144 天前
    牛逼..
    charmToby
        11
    charmToby  
       144 天前
    小程序本就防不住,小程序加密破解比 APP 容易多了。
    kisshot
        12
    kisshot  
       144 天前
    话说微博上说这小游戏已经转了上千万了 流量真这么好赚吗
    andyskaura
        13
    andyskaura  
       144 天前
    哪位好兄弟能把通关次数得 api 翻出来
    WIN2333
        14
    WIN2333  
       144 天前
    Macolor21
        15
    Macolor21  
       144 天前
    @kisshot 广告赚钱,30s 的观看,玩的人那么多,钱不少的
    andyskaura
        16
    andyskaura  
       144 天前
    @WIN2333 #14 好家伙 都一条龙了吗
    兄弟们 把 token 发我吧
    laolaowang
        17
    laolaowang  
       144 天前
    @Macolor21 我说呢,这游戏没有充值地方,怎么能赚钱
    wanmyj
        18
    wanmyj  
       144 天前
    iPhone 抓包已经看不到 token 了,应该是已经被修复了,反应还挺快
    andyskaura
        19
    andyskaura  
       144 天前
    @wanmyj #18 能抓 退出去重进一次
    c0t
        20
    c0t  
       144 天前 via Android
    @kisshot 只有小游戏的基本都没有充值的,有版号才能有充值入口,哪里是那么好搞的,甚至这个小程序还是
    c0t
        21
    c0t  
       144 天前 via Android
    @kisshot 手滑了,甚至这个小程序还是挂在个人用户账号底下的,但是不妨碍千万流水啊
    mcluyu
        22
    mcluyu  
       144 天前   ❤️ 1
    虽然不知道这个游戏是干啥的,但是通关好几次了🤣🤣
    brust
        23
    brust  
       144 天前
    感觉这个后台接口像代码生成器生成的

    不明白有些人为啥这么热衷代码生成器生成接口,用不到的接口也不删
    hhjswf
        24
    hhjswf  
       144 天前
    这源码是怎么泄露的
    PMR
        25
    PMR  
       144 天前
    @hhjswf 前端源码 抓包就能看到
    james2013
        26
    james2013  
       144 天前
    哈哈,这程序员水平也太差劲了
    leeggco
        27
    leeggco  
       144 天前
    代码再烂也不妨碍赚几个亿啊,所以大家别卷了
    leegradyllljjjj
        28
    leegradyllljjjj  
       144 天前
    人家赚了几千万了,这看上去比刀了我还难受
    hdp5252
        29
    hdp5252  
       144 天前 via Android
    老了 不认识这软件
    ChevalierLxc
        30
    ChevalierLxc  
       144 天前
    别人在赚钱,我们缺在这里帮着别人赚更多的钱
    HFX3389
        31
    HFX3389  
       144 天前
    @kisshot #12 Pony 马不是说这是 PS 的吗
    silencil
        32
    silencil  
       144 天前
    不要老是关注别人代码怎么样,各有各的需求,不能总是从自己擅长的方面去给人找茬;做这种游戏,不是每一款都能爆,量大才是硬道理,要做出批量的游戏,每一个都精益求精,成本暴增,如果一款都每爆,沉默的成本还更多了。
    echoZero
        33
    echoZero  
       144 天前
    header 里面的 t 还可以拿到,直接提交成绩
    yaoliyc
        34
    yaoliyc  
       144 天前
    不参与不讨论有些人不就赚不到了。
    CokeMine
        35
    CokeMine  
       144 天前 via Android
    if (document.getElementById("password").value === "123456") alert ("登录成功")
    zapper
        36
    zapper  
       144 天前
    无所谓。这个羊也火不了几天了,下一个“羊”还是这样的
    zr8657
        37
    zr8657  
       144 天前
    @leegradyllljjjj 那个图是假的
    zhuweiyou
        38
    zhuweiyou  
    OP
       143 天前
    @charmToby 小程序反编译脚本 GITHUB 一大把... 就算是 APP 也不能这么干
    nmap
        39
    nmap  
       143 天前
    @zhuweiyou #38 公众号的程序能反编译吗
    zhaokangchen321
        40
    zhaokangchen321  
       143 天前
    果然还是要创意抓住用户心理获得流量最挣钱。代码不需要多好
    zhuweiyou
        41
    zhuweiyou  
    OP
       143 天前
    @nmap 公众号程序是部署在服务端的. 公众号->微信服务器->你的服务器. 不存在反编译. 如果你说的是菜单点进去的页面, 那是普通的网页, 本来就是公开的
    nmap
        42
    nmap  
       142 天前
    @zhuweiyou #41 是这样的,最近接触了一个票贩子,可以在公众号上帮抢票,我猜测用上了逆向的技术
    cgtx
        43
    cgtx  
       141 天前
    @zhuweiyou 第一张图是怎么得到的呀,我在 mac 抓 ios 的包,只有一些 api 的请求和小程序加密的请求。看不到对小程序前端的 html 请求
    zhuweiyou
        44
    zhuweiyou  
    OP
       140 天前
    @cgtx 不是抓包,是反编译. 小程序解密的脚本 github 很多的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   实用小工具   ·   3493 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 38ms · UTC 10:51 · PVG 18:51 · LAX 02:51 · JFK 05:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.