2019-02-14 微信公众号openid 不唯一漏洞的应对方法

新手学堂0211

2019-02-14 微信公众号openid 不唯一漏洞的应对方法,第1张

微信公众号 支付商户api 所有用到open_id的地方, 对open_id的验证性都存在严重的漏洞

在所有能找到的微信文档中 都明确指出 open_id 是该用户在该公众号平台的唯一id

然而实际情况是 在所有以open_id作为参数的微信相关api 都可以在open_id的最后一位加 = 达到同样的效果

比如 获取用户信息api, 正常用户的open_id 是 ojwt_0qHXeiGJnKg4so9baOBjNgs 我们可以输入 ojwt_0qHXeiGJnKg4so9baOBjNgs= 同样可以获取该用户信息

比如企业付款那几个付钱的api 可以用同样的方式 成功支付给用户

ojwt_0qHXeiGJnKg4so9baOBjNgt ojwt_0qHXeiGJnKg4so9baOBjNgt=

除了 最后的 = 还可以把最后一位字母替换成 0-9 a-z 执行微信各种api

解决的办法 暂时是通过验证用户的union_id 还好用这些方法获得的open_id 都是同一个union_id

对于这个漏洞的应用 就不说了, 希望微信团队能早日解决

防范亲属卡诈骗的方法:

1、对于陌生人的好友请求,微信用户一定要警惕,不要随便添加好友。

2、不要跟陌生人或者是并不太熟悉的朋友,建立这种经济上的关系。

3、亲属卡是有代付功能的,一旦把权限授予别人的话,别人就可以直接未经你的确认进行支付。

4、如果对方是以亲属卡的形式给你付款,就让对方不要以亲属卡的形式用转账或者扫码,千万不能上当。

扩展资料:

简单来说,微信的“亲属卡”就是对亲人的一种代付产品,亲属买东西,你付钱。用户可以通过微信上赠送给父母、子女亲属卡,对方消费时候的金额由您来代付,在使用亲属卡消费时,消费金额系统会自动从代付方的微信支付账户里面扣除资金。

这确实是个大问题,你应该去跟客服反应一下,看有没有办法,或者给付款码也加一个验证,不过问题虽然大,但是现在手机不设锁屏密码的人也真的很少了,反正设了解锁密码还有指纹呢,打开也不会麻烦,除非是老人才有可能没设解锁密码,所以客服同意修改的可能性应该不大

微信支付的时候显示当前进账户以及身份冒用的话你用赶紧退出登陆后,重新用账号和密码登录。

如果还是弹出“当前账号疑似身份冒用”的提示,那你就按照右下角的“申请解除限制”步骤一步一步填好申诉资料,等待审核就可以了!

其他人是加入不进来。在微信中,无论是语音聊天还是视频聊天,微信视频超过9人,最多不能超过9个人,如果超过了9个人,其他人是加入不进来的。微信是一款非常具有时效性的跨平台的手机交友软件。微信是腾讯公司于2011年初推出的一款通过网络快速发送语音短信、视频、和文字,支持多人群聊。

微信的扫码支付现在已经是非常常见了,买东西的时候只要扫一扫商家的二维码,就支付完成,方便时方便,但是安全性到底怎么样呢?在凯旋广场做服装生意的刘先生,因为这个微信扫码支付莫名其妙的损失了一笔钱 ……

微信扫码后匆匆离开

刘先生是凯旋商城地下二层 BV13 的经营业户,经营着一家女装批发店铺,做着小本生意。12 月 7 日中午 11 点 50 分左右 ,店内来了一名 40 左右的一名陌生的女顾客,操着大连口音。刘先生告诉记者,进店之后这名女子起初试了一件羽绒服,随后又试了一件针织衫,看到针织衫标签上的标价 240 元,表示太贵就离开了刘先生的店铺。几分钟之后这名女子又折回,一边打着电话一边匆匆地表示,"180 元可以吗?要是可以我就直接付款买走。" 刘先生表示同意可以 180 元成交,用袋子装好递给这位顾客。这名女顾客扫了一下收银台前方的微信支付二维码,并将支付页面给刘先生看了一眼。确认无误后,这名顾客匆匆地提着衣服离开,一切看起来似乎没什么异常。

为什么钱迟迟没收到?

据刘先生介绍,当时自己还听到这个顾客扫二维码时候那个 " 滴 " 的声音出来。" 随后她就输入 180 元,输入密码的时候背着我们,就是支付成功后把支付页面朝我这边看一下,然后我看到是 180 元,当时也没仔细看收款人的姓名是否我的微信名。我在心里面在想她应该是支付完成了,然后她就匆忙拿着袋子走了。" 刘先生说,绑定的微信收款人是自己本人,因为手机在凯旋地下信号不好,支付有延迟的情况以前也发生过。" 当时没有第一时间看到付款是否马上到账,但是过了几分钟以后我感觉不对劲儿,反复核对发现这个 180 元一直没有收到。因为当天下午还有 1000 元的收款进账,就这笔 180 元没有收到。"

该女子是商家眼中的 " 老熟人 "

刘先生立即调出店内的监控视频,监控视频画面中显示,这名女子付款时候,确实扫了一下收银台上面的微信二维码,但是在手机输入金额和付款密码时候,该名女子有意避开了刘先生的视线,在完成付款后,迅速向吧台出示了一下后就匆匆离开。" 当时他可能是真的扫了二维码了,也可能是真的输入了那个金额了,然后可能在按密码的过程中,按了几个密码后就立马退出来了。直接把之前可能弄好的一个假的付款页面截图给我看,在我面前晃了一下就离开了。"

随后刘先生将自己的遭遇和监控视频上传到商场商家的微信群中,许多商家纷纷表示,这个女的是个惯犯了,多家商铺表示被这个女的用同样的方法套路过。

扫码付款有没有漏洞?

记者做了一个实验,尝试将自己的微信名称设置成和服装店刘老板相同的微信名称,并换成与老板相同的微信头像,并打开微信收款二维码,发现与收银台上面的二维码几乎是完全一样的,很难辨别两个二维码的差别。

事发后刘先生来到了辖区派出所报了警,目前警方已经介入调查。警方也在此想提醒商家,在使用微信收款时,一定要再三确认是否收到货款,如果一时不能确认的话,也要仔细查看对方付款时的收款人信息是否是自己本人,以免上当受骗。

半岛晨报、海力网记者肖佞