微信为什么能隔空?隔空的原理?

首先了解下微信的投诉ID机制,每个ID都代表着一个用户,每个用户会分配到俩种ID,分别是

  • 原始id(wxid_.***********)[抓包获取]
  • 用户id(用户自定义的id)[名片/他人提供]

这俩种ID都可以代表一个账号,意思就是对于那些下号的人来说,只要知道你其中一个ID就能下你的号

接着讲隔空的原理

  • 先说第一种,微信自身的规则

拿微信的  [笔记]  功能来说

图片[1]-微信为什么能隔空?隔空的原理?-有她博客

他这里说明了,如果内容存在违规那就追溯发布者的责任,这里的发布者指的是这个笔记的创作者,不是转发笔记的人,那想要隔空就很简单,故意填写一些违规内容转发给自己再按进去投诉通过抓包工具将自己的wxid换成别人的id即可实现隔空下号

或者   [摇一摇功能]

这些功能面对的投诉对象都是陌生人,所以就让那些下号的人有了可乘之机,摇到的陌生人直接投诉改违规换ID这也能实现隔空

这种利用微信本身的规则来恶意投诉的方法还有好多我这里不一一介绍了

  • 接着讲第二种 潜在的bug

当微信自身的规则被修复后,那些下号的人就通过改值换数据的方法来隔空

改值:指投诉包里的url参数[scene]俗称[接口]

换数据:把原来的投诉数据换成另一种数据

这种就是抓漏洞投诉,微信的投诉数据分好几种,换数据常用的是:

笔记数据(笔记投诉时的特有数据)

表情包数据(投诉表情包时的特有数据)

这俩种数据特殊,所以放到别的接口可能会投诉成功

例如

51[表情包投诉]  接口改  38[雷达加好友投诉]  放表情包的特有数据

本身的38[雷达加好友投诉]是不能恶意投诉的,但经过改值和换数据一系列操作后就能隔空,并且是五分钟准时出投诉结果,这种就是属于漏洞bug

问:为什么他们都知道改这个scene和那个数据就能成功?

答:那些人为了研究新思路一个一个试过去,这种地毯式的排查你觉得呢?

不过最近一段时间大家可以不用担心,微信已经开始整治投诉机制,隐匿接口全部整改,留下的几个接口全部都无法恶意投诉,就在昨晚好友思路也接连和谐,最近终于可以放心使用微信了

© 版权声明
THE END
喜欢就支持一下吧
点赞27 分享
评论 共14条

请登录后发表评论