2018年元旦三天假期大家玩的很嗨皮，大家玩的最嗨的除了朋友圈里曬出的18歲，就是微信新小程序里面的“跳一跳”這款小游戲了。

但是你知道嗎？“跳一跳”居然可以利用漏洞自己改分?jǐn)?shù)？甚至連微信小程序、小游戲的源代碼都可以直接下載，只需要知道appid和版本號，就可以直接構(gòu)造URL下載后綴為wxapkg的源碼包，不需要任何驗(yàn)證。目前，該漏洞已被微信修復(fù)。

雖然下載來的源碼包是加密的，但是解密方法已經(jīng)被 V2EXer 發(fā)現(xiàn)，并且寫了一個解密的 Python 腳本，運(yùn)行即可把源碼包解開為文件夾。

第一步，實(shí)驗(yàn)者試著用帖子拼接好的跳一跳源碼包地址測試，發(fā)現(xiàn)能夠下載，不需要任何驗(yàn)證，只需要知道這個地址，直接任意瀏覽器或者下載工具打開都可以下載。

第二步，再用帖子中的解包 Python 腳本把源碼包解壓成源代碼。

第三步，在本地微信開發(fā)者工具中新建一個空白的小程序或小游戲的項(xiàng)目，不要選擇快速啟動模板。

第四步、把剛才解壓出來的源代碼復(fù)制到剛剛創(chuàng)建的項(xiàng)目目錄中，開發(fā)者工具會提示編譯出錯，這個只需要新建一個game.json文件即可。文件內(nèi)容不能為空，寫一對大括號進(jìn)去，或者加上deviceOrientation的配置，這句話的意思是游戲豎屏玩。

保存后你發(fā)現(xiàn)游戲還是編譯不通過，還需要修改最后一項(xiàng)，點(diǎn)擊開發(fā)者工具右上角詳情按鈕，把調(diào)試基礎(chǔ)庫改成game。

雖然微信官方已經(jīng)修復(fù)了“跳一跳”及微信小程序的這些漏洞，但是安全問題真的不容忽視呢！

ice

收藏 海報分享