开发人员（）

开发人员和程序员的专业平台！

0x00简介

可以说开发微信的第三方营销平台的人是通过依靠微信的官方发展文件来赚钱的人。他们将开发文件变成了普通人可以一目了然的产品和事物。许多营销人员不了解技术，并且已经完成了许多技术。他们不了解营销，可以说是在技术和营销之前有效地建造了一座桥梁，使那些不了解技术的营销人员可以轻松地通过第三方平台访问微信。

微信本身是安全的，但是第三方平台的安全并不能保证。本文是为了解释使用第三方平台时掩埋的安全风险。

0x01从忽略的漏洞开始

漏洞编号：-2016-

：的最新版本可以超越其他人的官方帐户的权威“>：的最新版本可以超越其他人的官方帐户的权威（）

我很困惑为什么如此深远的脆弱性被忽略，客户是否不负责任，还是不了解脆弱性本身

接下来，从这个忽略的漏洞中，我们将挖掘出其背后的数千个受影响的用户。

0x02采矿过程

搜索链接使用微信系统

注册并登录到受影响的系统

批量获取微信和

通过调用微信开发人员界面获取相应的用户列表

发送给这些用户

使用微信系统的百度搜索链接

结果63个链接：

注册并登录到受影响的系统

我最初计划编写一个脚本以分批注册然后发行密钥，但是由于有验证代码，并且本地验证代码程序尚未开始运行，并且只有60多个网站，所以我手动完成了然后进行获取钥匙的过程。写一个脚本

批量获取微信和

尝试每个链接后，总共捕获了700多条微信消息

通过调用微信开发人员界面获取相应的用户列表

在这里，我们通过脚本涉及许多微信消息的用户总数

运行脚本后，我发现总共涉及577万用户。

0x03结束

超过570万用户的重复率非常低。您可以将广告推向这570万用户，向这570万用户发送消息，然后向这500万用户发送句子，“您和我很接近，但是您不知道我是谁”。