導(dǎo) 近日,微信帶來了小游戲「跳一跳」。它的玩法很簡單,用蓄力控制游戲人物在各種「箱子」間跳躍,考驗玩家的控制能力。但一些網(wǎng)友為了刷分,紛紛用了「高分神器」——外掛。 最有名的外掛要數(shù)「直接偽造 POST...

近日,微信帶來了小游戲「跳一跳」。它的玩法很簡單,用蓄力控制游戲人物在各種「箱子」間跳躍,考驗玩家的控制能力。但一些網(wǎng)友為了刷分,紛紛用了「高分神器」——外掛。

最有名的外掛要數(shù)「直接偽造 POST 請求刷分」。這個外掛的原理很簡單:當游戲結(jié)束后,游戲成績會從個人手機發(fā)送到服務(wù)器,問題發(fā)生在服務(wù)器沒有對客戶端發(fā)送的數(shù)據(jù)進行驗證,也就是說,無論用戶發(fā)送什么樣的成績,服務(wù)器都會相信。這樣造成的結(jié)果是,只要用戶使用黑客技術(shù)偽造一個分數(shù),并「告訴」給服務(wù)器,你便獲得了這個分數(shù)。

這個問題不是第一次發(fā)生,早在 2011 年前后,QQ 空間推出了一系列的小游戲,在那時,也有人利用類似原理進行刷分。

事實上,類似的漏洞還會帶來更嚴重的災(zāi)難,如果支付數(shù)據(jù)被攔截并修改,很有可能造成無論充值多少,「只需支付 0.01 元」的情況。據(jù)澎湃新聞報道,2016 年,一個大二在校生利用某網(wǎng)絡(luò)購物平臺的支付漏洞,把支付指令中的付款數(shù)據(jù)修改成 0.01 元,就能用 1 分錢購買大額話費了。

據(jù)小編了解,微信小游戲「跳一跳」的源代碼下載漏洞已經(jīng)被修復(fù),網(wǎng)友發(fā)現(xiàn)上文中提到的「直接偽造 POST 請求刷分」漏洞也已經(jīng)失效了。