雷鋒網(wǎng)消息，據(jù) IT 之家 1 月 2 日消息稱，“跳一跳”居然可以利用漏洞自己改分?jǐn)?shù)，甚至連微信小程序、小游戲的源代碼都可以直接下載，只需要知道appid和版本號(hào)，就可以直接構(gòu)造URL下載后綴為wxapkg的源碼包，不需要任何驗(yàn)證。目前，該漏洞已被微信修復(fù)。

到底怎么回事？雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome）從Janus 威脅情報(bào)平臺(tái)的一篇技術(shù)投稿了解到了詳情。

該投稿作者為獨(dú)立開發(fā)者朱鵬飛，他稱“我看完文章之后立馬根據(jù)他的思路方法測試了一下，然后下載了十幾個(gè)微信官方的小游戲源碼單純研究學(xué)習(xí)，截止我目前推送文章的時(shí)候（ 2018年1月1日23:50分 ），微信官方已經(jīng)修復(fù)了這個(gè)漏洞，但是我感覺文章還是可以分享出來給諸位開發(fā)者，安全問題真的不容忽視呢?！?/strong>

雷鋒網(wǎng)還注意到，朱表示，有些老版本的微信還是可以抓包，獲取包地址。

以下信息摘選自朱鵬飛文章：

一、發(fā)現(xiàn)

一大早起來刷 V2EX，看到一個(gè)帖子《微信跳一跳 可以直接更改分?jǐn)?shù)， POST 請求沒有校驗(yàn)…》 https://www.v2ex.com/t/419056  好奇點(diǎn)進(jìn)去看了。

發(fā)現(xiàn)不但跳一跳小游戲可以直接改分?jǐn)?shù)，甚至連微信小程序、小游戲的源代碼都可以直接下載，只需要知道 appid 和 版本號(hào)，就可以直接構(gòu)造 URL 下載后綴為 wxapkg 的源碼包，不需要任何驗(yàn)證。

雖然下載來的源碼包是加密的，但是解密方法已經(jīng)被 V2EXer 發(fā)現(xiàn)，并且寫了一個(gè)解密的 Python 腳本，運(yùn)行即可把源碼包解開為文件夾。

二、重現(xiàn)

第一步，我先試著用帖子作者拼接好的跳一跳源碼包地址測試，發(fā)現(xiàn)能夠下載，不需要任何驗(yàn)證，只需要知道這個(gè)地址，直接任意瀏覽器或者下載工具打開都可以下載。

第二步，再用帖子中的解包 Python 腳本把源碼包解壓成源代碼。

第三步，在本地微信開發(fā)者工具中新建一個(gè)空白的小程序或小游戲的項(xiàng)目，不要選擇快速啟動(dòng)模板。

第四步、把剛才解壓出來的源代碼復(fù)制到剛剛創(chuàng)建的項(xiàng)目目錄中，開發(fā)者工具會(huì)提示編譯出錯(cuò)，這個(gè)只需要新建一個(gè)game.json文件即可。

文件內(nèi)容不能為空，寫一對大括號(hào)進(jìn)去，或者加上deviceOrientation的配置，這句話的意思是游戲豎屏玩。

保存后你發(fā)現(xiàn)游戲還是編譯不通過，還需要修改最后一項(xiàng)，點(diǎn)擊開發(fā)者工具右上角詳情按鈕，把調(diào)試基礎(chǔ)庫改成game。

好了，運(yùn)行起來了：

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。