ice 2018年元旦三天假期大家玩的很嗨皮,大家玩的最嗨的除了朋友圈里晒出的18岁,就是微信新小程序里面的“跳一跳”这款小游戏了。
但是你知道吗?“跳一跳”居然可以利用漏洞自己改分数?甚至连微信小程序、小游戏的源代码都可以直接下载,只需要知道appid和版本号,就可以直接构造URL下载后缀为wxapkg的源码包,不需要任何验证。目前,该漏洞已被微信修复。
虽然下载来的源码包是加密的,但是解密方法已经被 V2EXer 发现,并且写了一个解密的 Python 脚本,运行即可把源码包解开为文件夹。
第一步,实验者试着用帖子拼接好的跳一跳源码包地址测试,发现能够下载,不需要任何验证,只需要知道这个地址,直接任意浏览器或者下载工具打开都可以下载。
第二步,再用帖子中的解包 Python 脚本把源码包解压成源代码。
第三步,在本地微信开发者工具中新建一个空白的小程序或小游戏的项目,不要选择快速启动模板。
第四步、把刚才解压出来的源代码复制到刚刚创建的项目目录中,开发者工具会提示编译出错,这个只需要新建一个game.json文件即可。文件内容不能为空,写一对大括号进去,或者加上deviceOrientation的配置,这句话的意思是游戏竖屏玩。
保存后你发现游戏还是编译不通过,还需要修改最后一项,点击开发者工具右上角详情按钮,把调试基础库改成game。
虽然微信官方已经修复了“跳一跳”及微信小程序的这些漏洞,但是安全问题真的不容忽视呢!
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
