雷锋网报道（-sz）

据雷锋网消息，IT之家1月2日报道称，“跳一跳”其实可以利用漏洞自行更改分数。连微信小程序、小游戏的源码都可以直接下载。您只需要知道版本号。 ，可以直接构造一个URL来下载后缀为 的源码包，无需任何验证。 1月2日下午，知名安全团队“盘古”的安全专家向雷锋网宅客频道证实，微信小游戏“跳来跳去”中的漏洞依然存在。此前流传的“微信已修补漏洞”的意思是已经修补完毕。微信小游戏“跳一跳”源代码下载发现漏洞。这意味着仍然有可能改变分数。

这是怎么回事？雷锋网从盘古威胁情报平台获悉详情。

1. 复发

为该平台做出贡献的独立开发者朱鹏飞表示，“读完文章后，我立即按照他的思路和方法进行了测试，然后下载了十几款微信官方小游戏源码简单学习研究。目前，我已经推送了这篇文章。 （2018年1月1日23:50），微信已经正式修复了这个漏洞，但是我觉得文章还是可以分享给开发者的。安全问题确实不容忽视。 ”

雷锋网还注意到，朱某表示，一些旧版本的微信仍然可以抓包并获取数据包地址。

朱说，他一大早起床浏览V2EX时，看到一个帖子“微信跳转可以直接更改分数，且POST请求未验证……”，他出于好奇就进去了。

我发现不仅可以在跳跳小游戏中直接更改分数，甚至连微信小程序和小游戏的源代码都可以直接下载。您只需要知道版本号和网址即可下载后缀为 的源码包，无需任何验证。

下载的源码包虽然是加密的，但是解密方法已经被发现，并且已经写了解密脚本。源码包运行即可解密到文件夹中。

第一步，我尝试测试帖子作者拼接的源码包地址。我发现不用任何验证就可以下载。我只需要知道地址，用任何浏览器或者下载工具打开就可以直接下载。

第二步，使用帖子中的解压脚本，将源码包解压成源码。

第三步，在本地微信开发者工具中新建一个空白小程序或小游戏项目。不要选择快速启动模板。

第四步，将刚刚解压的源代码复制到刚刚创建的项目目录中。开发者工具会提示编译错误。为此，您只需创建一个新的 game.json 文件。

文件内容不能为空。写一对大括号或添加配置。这句话的意思是游戏可以竖屏玩。

保存后发现游戏仍然无法编译。您仍然需要修改最后一项。点击开发者工具右上角详情按钮，将调试基础库改为game。

好的，它正在运行：

另外，雷锋网还发布了最新的分数提升指南：

2. 换点关键步骤

电脑上安装抓包软件，手机上设置代理到电脑

使用抓包软件抓包并获取微信的

会编写改分脚本并提交改分请求

下面是详细教程

（1）部署环境（mac环境）

选择()作为mac下的抓包代理软件，用户可以使用()。

安装完成后，运行并查看软件提供的本地IP地址和远程代理端口号：

顶部菜单->

将手机连接到与电脑同一局域网的wifi，然后在wifi代理设置中，选择手动指定代理。代理服务器是电脑的IP和代理软件提供的端口号（图中的8888）。

电脑会提示是否运行远程访问，点击即可。

设置完成后，您可以尝试打开浏览器。如果能够正常打开，并且在抓包软件中可以看到请求记录，则说明手机的代理设置完成。

既然是请求，那么就需要在手机上安装证书来解密请求。证书可以通过手机浏览器安装并通过手机浏览器访问。如果您点击继续访问该网站，系统会提示您安装证书。

对于iOS 10.3及以上的系统版本，您需要在设置→常规→关于本机→证书信任设置中启用完全信任证书。

配置好证书后，可以打开看看是否可以解锁百度首页源码。

(2)获取id

配置完成后，打开微信的跳一跳小程序，可以看到抓包历史中有一个id的请求：

您可以将其复制到该部分。

（3）编写改分脚本并提交改分请求

目前开源的脚本是这样写的，git地址：

具体步骤：

新建一个目录，如：，将脚本源码保存在此处，如hack.js。

然后安装，可以通过官网下载安装包并安装：

然后在命令行cd到当前项目文件夹()并运行：

npm 初始化 --y

npm-js-

然后用文本编辑器打开hack.js，修改里面的()和变量值。

在命令行运行node hack.js，如果是2018！新年！出现，就意味着成功。

上述盘古专家还提醒：“虽然‘跳一跳’下载代码中的漏洞已经被修补，但官方源码已经散布，如果其他人使用并修改它，就可以创建自己的‘跳一跳’。”比如“一条”，你可以用“条一条”的代码去改一个游戏，称之为“条一条”，然后混入一些私货，发布一个新游戏。

如果是，类似的新游戏是否存在包含恶意代码的风险？

专家告诉雷锋网：“小程序是有审核机制的，如果含有恶意代码，只有逃避审核后才能实施。现在小程序的审核比较严格，目前还不清楚审核有多强。”恶意代码的数量是。”

参考链接：