微信公众号 支付商户api 所有用到open_id的地方, 对open_id的验证性都存在严重的漏洞.
在所有能找到的微信文档中 都明确指出 open_id 是该用户在该公众号平台的唯一id
然而实际情况是 在所有以open_id作为参数的微信相关api 都可以在open_id的最后一位加 = 达到同样的效果
比如 获取用户信息api, 正常用户的open_id 是ojwt_0qHXeiGJnKg4so9baOBjNgs 我们可以输入 ojwt_0qHXeiGJnKg4so9baOBjNgs= 同样可以获取该用户信息
比如企业付款那几个付钱的api 可以用同样的方式 成功支付给用户.
ojwt_0qHXeiGJnKg4so9baOBjNgt ojwt_0qHXeiGJnKg4so9baOBjNgt=
除了 最后的 = 还可以把最后一位字母替换成 0-9 a-z 执行微信各种api
解决的办法 暂时是通过验证用户的union_id 还好用这些方法获得的open_id 都是同一个union_id
对于这个漏洞的应用 就不说了, 希望微信团队能早日解决
微信公众号 支付商户api 所有用到open_id的地方, 对open_id的验证性都存在严重的漏洞. 在所有能找...
微信公众号支付的完整流程,首先需要微信授权,获取openId,因为openid是微信用户在公众号appid下的唯一...
前言 支付宝的用户id是支付宝所有平台底下的唯一值,相当于微信公众号的openid,但是微信公众号的openid和...
微信openid原理及支付过程中使用方案 一、 微信openid原理微信openid由微信公众号提供,是微信公众...
微信openId是微信公众号和用户相互绑定的唯一标识 获取微信openId 第一步:填写服务器配置 url必须以h...
相关概念 appid:公众号的唯一标识 openId:加密后的微信号,每个用户对每个公众号的OpenID是唯一的。...
title: 微信公众号开发:获取openId和用户信息 tags: 微信公众号 categories: 笔记 ...
为什么要获取openid openId是用户在当前公众号下的唯一标识(‘身份证’)。在微信中进行微信分享、支付等操...
一、appid 、openID 和 UnionID 定义与区别 1、appid: 微信小程序/公众号的唯一凭证,即...
微信公众号支付,简单说主要分为如下几个步骤. 1.openId的获取 openId是微信用户与特定公众号对应关系的...
本文标题:2019-02-14 微信公众号openid 不唯一漏洞的应对方
本文链接:https://www.haomeiwen.com/subject/sqxyeqtx.html
网友评论