快到年末了,家中的微信聊天群又红火了起來,大家族里几个亲朋好友已经参与某评定主题活动的手机微信投票主题活动,因此七大姑八大姨每天在群内使我们帮着投票,家人了解我是搞IT新技术的就惦记着要我搞个刷票软件,自动刷票。因此我便花了些历经科学研究了一下这一灰色产业!
今日就将我近期分析的体会心得给各位共享一下,让大伙儿了解一下微信刷投票手机软件的工作原理与完成!
一、 手机微信的投票方法
微信刷投票具体有俩种方法,软件开发刷投票和人力网络水军刷投票。
人力刷投票:人力刷投票,便是应用投票网络水军来刷投票。店家热衷搞手机微信投票主题活动,一些空闲时间多的人员看到了这当中的店家,以协助参赛者投票来获取提成。这些人大部分是为做兼职投票手投票员,外部一般称大家为投票网络水军。人力网络水军刷投票的基本原理就比较简单,便是建立一个手机微信投票任务群,把投票每日任务发至群里边就进行刷投票了,便是这样简易。一个群不足用,就多建立好多个群就可以了。
现阶段网络上很多刷投票精英团队,自称为全是人力刷投票,实际上大多数全是假的,为什么呢?由于你看看他的收费标准就知道投100票价钱将会在十元上下,因此一票很有可能都不上一毛钱,这一还需要给网络水军们分因此盈利并不高,除非是订单量尤其大。因此基本上全是用刷票软件刷投票。
假如你要分辨你的是人力刷投票,你能使他把投票的截屏都发给你,我想他是不可能为你的,呵呵呵,假如确实让你,你的投票价钱至少一票要3角钱之上!
软件开发刷投票:刷票软件基本原理大部分 是根据抓包软件剖析递交投票时生产的数据信息,随后应用脚本制作程序流程大批量递交数据信息就到达了刷投票的目地。在其中最高的困难便是怎么提升限定,比如ip限制,短信验证码限定微信如何发投票,微信登录受权限定等。这种刷票工具在网上还有许多 ,可是绝大部分实际效果都不太好,会被服务平台限制住。
二、 手机微信投票主题活动的安全漏洞和刷投票方式方法
普遍系统漏洞如下所示:
1、在微信投票的运动中,会出现二种进行投票的状况,一种是进行投票的网络服务器是单独的,仅仅借助了手机微信的投票服务平台,在微信公众平台开展了投票以后,会有一个投票分享的实际操作,将主题活动中的投票状况发送给进行投票的网络服务器。另一种是同时使用微信的网络服务器来进行投票的实际操作,这类状况则无需开展投票分享的实际操作,投票状况立即在微信服务器上进行操纵。
2、在微信投票的运动中必须的是微信帐号来开展的投票,而在微信中有一个有关微信帐号的标准,那便是每一个数据加密后的微信帐号都是会产生一个OpenID,每一个消费者的OpenID在微信公众平台上来讲全是wei一的。那麼当客户开展投票后,如果是必须 将投票发送给独立主机的,微信公众平台则会应用POST主要参数将包括投票客户的OpenID的消息发送给投票网络服务器,投票网络服务器在读取到微信公众平台推送回来的投票POST要求以后,便会在自身的网络服务器根据比照OpenID来确定同一微信帐号的投票频次。假如不用发送给投票网络服务器的,则同时在微信服务器上确定OpenID的投票状况。
3、 如果是单独的投票网络服务器在读取到POST要求时,只有对这一推送回来的OpenID开展投票频次的分辨,可是由于没法应用微信服务器的数据信息,就不能对这一OpenID开展真实有效的认证,这也是手机微信投票主题活动的一个挺大的系统漏洞。就算是立即应用微信公共号票来开展的投票主题活动,尽管能够立即认证OpenID的真实有效,可是只须要用方式方法关联一些OpenID恰当的微信帐号来开展投票实际操作便能够利用此项认证了。拥有这一系统漏洞就十分有利于来应用一些方式方法完成微信刷投票的实际操作。
普遍的刷投票方式方法:
1、对于手机微信投票主题活动没法校检OpenID真实有效的系统漏洞微信如何发投票,能够先应用一个微信帐号开展一次投票实际操作,运用此次实际操作来获得相应的数据网络。这一信息中会包括POST要求的技术参数及其內容。随后根据脚本制作,例如Fiddler或是Python都能够,来自身搭建一个POST的要求,该要求中主要参数和內容确保与获得到的实际数据信息一致,随后依照真正OpenID的文件格式随机生成OpenID,必须刷是多少投票数就开展几回POST要求,便能够完成简洁的刷投票实际操作了。
2、针对有IP限定的手机微信投票主题活动,能够应用CURL来仿冒IP地址微信如何发投票,那样就可以生产制造好几个IP来刷投票了。
二、 普遍的避免刷投票方式
1、 仅有关心了微信公众号才可以投票
在服务项目启用获得客户基础信息
API插口会回到下列数据信息:
当客户投票且未关心时,大家可依据subscribe是0还是1分辨是否有关心,若沒有关心则转到微信公众号的二维码网页页面并显示客户先长按二维码扫码关注。此办法的系统漏洞便是每一次投票都需要与微信服务器开展互动。
2、 分辨refer和User-Agent
下列为一个request header的一部分主要参数实例:
Referer为上一个浏览的网页页面,因此refer务必要为投票的网页页面详细地址。User-Agent里边需要有关键字MicroMessenger
3、限定手机客户端投票频次
用ip当做同一个ip投票频次受到限制,因为许多情况下应用nginx或apache这类的服务器代理,因而立即应用HttpServletRequest的getRemoteAddr()许多情况下获得的是服务器代理的ip,而我们要获得的是真正的ip址。下边是一个获得真正ip的例子编码
4、当投票量超过阅读量时便是刷投票个人行为
储存网页页面阅读量,投票进行后,测算投票数若投票量超过阅读量时便是刷投票个人行为。
5、在表单提交数据信息的地区应用检验码
服务器端回到一个检验码,在dom复位的情况下网页页面应用js加密这一检验码,commit的情况下递交这一数据加密的检验码,服务器端再判定这一加登陆密码的检验码是不是恰当。检验码设定应用N次后就废止。
下列为伪代码
服务器端解决:
四、 微信刷投票手机软件普遍的完成方式
1、运用fiddler抓包软件 完成手机微信投票(基本原理是运用OpenID真实有效的系统漏洞)
第一步:最先在电脑上安装微信手机软件
一般手机微信投票都必须 扫码关注才可以投票,因此 务必用电脑微信打开链接进到投票页面 免费下载好以后,开启微信登陆微信帐号。随后把投票网站地址拷贝发送至文档传输助手,这时候先不能开启。
第二步:安装下载且开启抓包软件fiddler 
第三步:如今返回微信打开刚刚要投票的网站地址,这时候打开抓包软件
第四步:根据大家刚刚在微信里投票的全过程,下面大家来说下fiddler里的状况
发生了那些数据信息,必须 对这类信息开展剖析。寻找哪一个才算是大家投票的数据信息
最终通过剖析,找到这种数据信息
Host: t: ssl.hi.163.com
Co
Content-Type: application/x-www-form-urlencoded
Origin: n: https://qnm.leihuo.net
Ac
Accept-Encoding: gzip, deflate
Connection: keep-alive
Accept: application/json
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 10_2_1 like Mac OS X) AppleWebKit/602.4.6 (KHTML, like Gecko) Mobile/14D27 MicroMessenger/6.7.1 NetType/WIFI Language/zh_CN
Referer: r: https://qnm.leihuo.net/m/2020/hahaha/MjU5NzAyMDQ1QXlQN0J6UFVYMXNBQUFBQQ==/?nie=0.674688067616421&eggid=MjU5NzAyMDQ1QXlQN0J6UFVYMXNBQUFBQQ==&uinfo=0&code=023Eqy001YcsR02oSGYZ0lRK001Eqy0Y
Co
Content-Length: 90
Accept-Language: zh-cn
https://ssl.hi.163.com/file_mg/public/qnm/zbs2020/incubation/changeEggProcess
wxid=ox1Mat8wMEsQ9dIoILUpNiESReNo&eggid=MjU5NzAyMDQ1QXlQN0J6UFVYMXNBQUFBQQ==&is_pass=1#p#分页标题#e#
第五步:如今大家必须对这类数据信息资产重组,开展一次分包实际操作。再次再刷一次票。
大家或是返回fiddler 此次大家必须开启这一
第六步:把大家刚刚剖析到的信息排序填写,填好以后是如此的。随后大家点一下Execute按键。
第七步:大家点一下递交之后,看下手机软件回到哪些数据信息
第八步:这一使大家所须要的详细信息内容。可是是错码,要怎么解决呢,实际上只需看 code:-5就可以了。那样表明您早已卵化过或是投过票了。如今也是人们所必须 使用的关键环节。