【重要】小程序后台工具生成小程序码,居然没有权限控制,不法之徒以此牵利。
发布于 5 年前 作者 yangxiong 8342 次浏览 来自 问答

描述

1.我__不是__京东购物的开发人员

2.将卡片分享给机器人后,机器人可以拿到页面路径

3.【关键】直接用京东的appId+路径生成小程序码,就是抓包的后台生成接口。

问题:我不是 京东小程序的开发,但是我可以生成京东小程序码,生成小程序码应该有权限控制。

这类薅羊毛党,可以对用户收费,把小程序码挂载众包平台,完成砍价助力类似的活动。

3 回复

一个get请求没什么吧,人家微信支付还把金额写get里你去破啊,自己写判断把

把小程序码看成二维码理解就行:

用户可以拿网址,随意生成一个二维码

用户可以拿路径,随意生成一个小程序码

这个并不会有安全问题,所以也算不上BUG

如果自己小程序不想被生成,可以禁用搜索。

这个工具非常实用,有它存在得价值。

回到顶部