2018年元旦三天假期大家玩的很嗨皮，大家玩的最嗨的除了朋友圈里曬出的18歲，就是微信新小程序里面的“跳一跳”這款小游戲了。

但是你知道嗎？“跳一跳”居然可以利用漏洞自己改分?jǐn)?shù)？甚至連微信小程序、小游戲的源代碼都可以直接下載，只需要知道appid和版本號(hào)，就可以直接構(gòu)造URL下載后綴為wxapkg的源碼包，不需要任何驗(yàn)證。目前，該漏洞已被微信修復(fù)。

雖然下載來(lái)的源碼包是加密的，但是解密方法已經(jīng)被 V2EXer 發(fā)現(xiàn)，并且寫(xiě)了一個(gè)解密的 Python 腳本，運(yùn)行即可把源碼包解開(kāi)為文件夾。

第一步，實(shí)驗(yàn)者試著用帖子拼接好的跳一跳源碼包地址測(cè)試，發(fā)現(xiàn)能夠下載，不需要任何驗(yàn)證，只需要知道這個(gè)地址，直接任意瀏覽器或者下載工具打開(kāi)都可以下載。

第二步，再用帖子中的解包 Python 腳本把源碼包解壓成源代碼。

第三步，在本地微信開(kāi)發(fā)者工具中新建一個(gè)空白的小程序或小游戲的項(xiàng)目，不要選擇快速啟動(dòng)模板。

第四步、把剛才解壓出來(lái)的源代碼復(fù)制到剛剛創(chuàng)建的項(xiàng)目目錄中，開(kāi)發(fā)者工具會(huì)提示編譯出錯(cuò)，這個(gè)只需要新建一個(gè)game.json文件即可。文件內(nèi)容不能為空，寫(xiě)一對(duì)大括號(hào)進(jìn)去，或者加上deviceOrientation的配置，這句話的意思是游戲豎屏玩。

保存后你發(fā)現(xiàn)游戲還是編譯不通過(guò)，還需要修改最后一項(xiàng)，點(diǎn)擊開(kāi)發(fā)者工具右上角詳情按鈕，把調(diào)試基礎(chǔ)庫(kù)改成game。

雖然微信官方已經(jīng)修復(fù)了“跳一跳”及微信小程序的這些漏洞，但是安全問(wèn)題真的不容忽視呢！

ice

收藏 海報(bào)分享