未分類
2020 年 10 月 6 日

请问微信 openid 可以伪造吗

请问微信 openid 可以伪造吗

資深大佬 : litaomn 0

有一些二维码活码限制了一个微信只能扫固定某一个二维码,猜测微信访问网页的时候生成一个 openid,这个 openid 跟二维码图片绑定。下次再扫描还是拿到同一张二维码。设想如果通过 hook 方式来伪造 openid 的话,是否可以突破这种限制呢?
大佬有話說 (33)

  • 資深大佬 : ThisQ

    我觉得没戏,openid 是服务器针对不同的公众号来生成不同的 id 的,如果给改掉之后应该就找不到对应的关系了。

  • 資深大佬 : noe132

    理论上同一个用户,不同应用获取到对该用户的 openid 不保证一致

  • 資深大佬 : wxsm

    一个 openid 是对应一个用户的,wx 通过它能知道你是谁,伪造的 openid 要怎么跟用户对应上呢?

  • 資深大佬 : QUIOA

    是不是想搞刷赞刷票呀

  • 資深大佬 : Rekkles

    请问微信 openid 可以伪造吗 如果这都可以那腾讯可以倒闭了。

  • 資深大佬 : reus

    用汗毛想都知道不可以

  • 資深大佬 : litaomn

    @QUIOA 不是刷票,是想获取活码后台对应所有的二维码,现在只能通过买小号来解决问题,小号价格贵封得快,扛不住啊

  • 資深大佬 : kop1989

    可以伪造,只要绕过二次跳转获取 code 》拿到 openID 的逻辑即可。

    但按照你的描述,“某 openID 只能扫固定的某个二维码”。说明其系统中有 openid 与二维码链接的对应关系验证。也就是说你瞎填一个是不行的。必须得是符合其其他二维码对应关系的 openID 才行。

    然后基本上就无解了。因为无感获取其他人的 openID 需要其在其的微信浏览器中获取一次性 code,附加 appid 与 appsecret 才能获取到。第三方技术服务的 appsecret 你是 100%拿不到的。

    完结。

  • 資深大佬 : zhiyzellda

    查了一下什么是 hook,我想说,这个关键要看是微信本地判断或是服务器端判断,服务器判断的话,你没有人家服务器的 root 密码,怎么 hook ?
    他可能直接把 openid 传给服务器进行登记。根本不存本地。

  • 資深大佬 : litaomn

    @kop1989 网页通过 snsapi_base 获取 openid,第三方应该不知道这个 openid 是不是合法的,获取到 openid 后,将 openid 随意改造一下,是否就可以突破呢

  • 資深大佬 : kop1989

    @litaomn #10 确实可以改造 /替换,就诸如我说的。
    但是第一,openID 不连续,第二,根据你的业务描述,openID 与二维码有关联关系。
    所以除非暴力穷举所有 openID,否则做不到你说的“拿到所有二维码”这种结果。

  • 資深大佬 : kop1989

    @litaomn #10 换句话说,其实聊到业务破解,就跟 openID 无关了,你完全可以通过直接爬接口灌参数的方式拿到二维码 。

  • 資深大佬 : yushiro

    请看微信的文档,只要按照文档来,你是不可能拿到 openid 的,与 web 端无关。

  • 資深大佬 : lucifelx

    openid 泄露与被伪造都没有任何影响,因为后端是向微信服务索要的 openid,只要客户端换取 accesstoken 的过程能保证安全,那么后端取到的 openid 必然是正确的。(大概这个意思,有段时间不做 wx 开发了)

  • 資深大佬 : litaomn

    感谢各位大佬解答,死了这条心了

  • 資深大佬 : d5

    openid 无法伪造,但是有些场景分析包,可以提供仿冒的 openid

  • 資深大佬 : KingPL

    正常 只是 code 传到后台,后台校验拿到 openid 再返回一个 sessionId 到前端完成绑定,openid 不会放到前端…

  • 資深大佬 : keepeye

    不行

  • 資深大佬 : masker

    哇!那微信钱包的钱不也可以自己加 0 了?

  • 資深大佬 : linuxvalue

    想多了

  • 資深大佬 : killergun

    这要是能伪造,微信程序员可以下岗了

  • 資深大佬 : quan01994

    不能伪造,但是你可以获取啊,你可以网上买一波微信号,用于获取 openId 。

  • 資深大佬 : levon

    能不能伪造跟你写的程序有关

  • 資深大佬 : annielong

    看程序了,获取 openid 这个是没法伪造的,但是第三方程序不一定会验证这个是否合法,

  • 資深大佬 : newmlp

    去看看微信开发文档就知道了

  • 資深大佬 : yepinf

    @kop1989 请教下,如何模拟微信浏览器取跳转的 code 参数

  • 資深大佬 : EminemW

    openid 是微信提供一个 token 给后端,后端在通过这个 token 与 appid 向微信服务器请求拿到 openid 。所以你破解方向不应该是 openid,

  • 資深大佬 : kop1989

    @yepinf #26 不需要获取 code,因为 lz 的最终目的是编造非本机主的 openID 。说白了就是绕过 openID 获取机制而已。和 hack 微信的 openID 获取机制其实无关。

  • 資深大佬 : ebony0319

    理论上不行,但是我见过黑产突然一下子(一两秒)一个地址多出十多万微信刷票,不知道怎么弄的。

  • 資深大佬 : zhiyzellda

    @ebony0319 他自己就是內部員工吧,內鬼搞得。或者是內部人在黑市裡出售了工具。黑市用了 Tor,所以鵝厂高層也不知道是誰。

  • 資深大佬 : xuanbg

    虽然一个用户有多个 openId,但这些 id 是和公共号一一对应的。你伪造的上哪里去对应?对不上就拿不到用户身份,就没法通过验证。

  • 資深大佬 : xuanbg

    @ebony0319 这种大多是群控搞的,就是有几万台设备,一个设备上有若干账号,然后通过群控工具一下子给你投票。

  • 資深大佬 : eudore

    可以伪造 openid,前提是你可以破解 hmac 的非对称加密。