标签:post请求 image block 代码片段 构造 pos jpg com 请求
由于微信运动第三方接口的漏洞,一款乐动力的运动APP可以用来刷微信步数,原理很简单,伪造POST请求数据就可以了。
1.刷微信步数的基本原理
乐动力可以绑定微信运动公众账号,用户可以使用它记录运动数据,比如步数,然后提交分数到微信运动,这个提交的过程是一个post请求,那么漏洞就在这里,由于没有做数据验证,提交的数据也都是明文的,所以只需要构造这个请求,修改其中的参数可以实现修改步数的目的了。
2.python3版刷微信步数的脚本
根据这个漏洞,网上已经有各种语言的刷步数脚本了,你也不需要抓包看post请求发送的参数,代码都写好了。我只是进行了修改,可以在python3下运行。
核心代码片段:
代码clone下来后,只需修改最后几行的uid和步数即可。uid指的是乐动力这个软件的用户id,在app设置界面可以看到。
如果感觉操作有难度,作者已把代码集成到微信公众号内可以直接关注使用。
标签:post请求 image block 代码片段 构造 pos jpg com 请求
原文地址:http://www.cnblogs.com/ishuabu/p/7073435.html
