微信内抽奖活动,被刷了,百度统计无数据,说明不是真机内的微信客户端?为啥能突破微信授权
hahamy · 2018-06-26 18:20:07 +08:00 · 2929 次点击这是一个创建于 2331 天前的主题,其中的信息可能已经有所发展或是发生改变。
流程:用户进入抽奖活动页面,获取微信 openid,限制一个 openid 一天只能只能抽奖 3 次(session 标识用户)
现象:发现这两天每天的新用户数有 5K 左右(数据库内记录的 openid 数),但百度统计一天只有一两百的 UV
排查:根据 IP 排查,发现有些 IP,一个 IP 有几十个不同的 openid 登陆,而且看 openid 应该是真实的
在 ipip.net 上查这些异常 IP,基本都是阿里云、美团云服务器的 IP
猜测:有人用工具在刷奖
问题:
1、百度统计没统计上,说明不是在微信浏览器内访问的活动页面,那怎么能授权成功,让我获取到 openid ?
2、如果是真机内的微信刷,那百度统计肯定会有数据?刷的人没必要屏蔽统计吧
3、这种刷奖是不是已经有成熟的技术了?通过养一批号来实现
现象:发现这两天每天的新用户数有 5K 左右(数据库内记录的 openid 数),但百度统计一天只有一两百的 UV
排查:根据 IP 排查,发现有些 IP,一个 IP 有几十个不同的 openid 登陆,而且看 openid 应该是真实的
在 ipip.net 上查这些异常 IP,基本都是阿里云、美团云服务器的 IP
猜测:有人用工具在刷奖
问题:
1、百度统计没统计上,说明不是在微信浏览器内访问的活动页面,那怎么能授权成功,让我获取到 openid ?
2、如果是真机内的微信刷,那百度统计肯定会有数据?刷的人没必要屏蔽统计吧
3、这种刷奖是不是已经有成熟的技术了?通过养一批号来实现
 |
1
zpfhbyx 2018-06-26 18:56:53 +08:00
群控了解一下
|
 |
2
qiayue 2018-06-26 19:02:37 +08:00
如果是靠 session 来保存抽奖次数的话,他清掉 cookie,就可以一天抽奖无数次了。
建议抽奖次数和 IP 绑定,增加黑产成本。 抽奖被刷是必然的,一定要事先多做防御措施 |
 |
3
iX 2018-06-26 19:16:36 +08:00
没统计上多正常,我 7*24 挂梯子,统计 /广告类域名见一个封一个。。
|
 |
4
lttc119 2018-06-26 19:19:47 +08:00 via Android
窃取隐私而已,别问我为什么知道的,我也不知道我为什么知道的
|
 |
5
flyz 2018-06-26 19:34:27 +08:00 via Android
赚客角度,明显被刷了。
|
 |
7
hahamy OP @qiayue 微信授权拿到 openid 就确定了用户,清掉 cookie 进来还是能识别,所以只要是一个微信号,那么就只能抽 3 次
|
 |
8
des 2018-06-26 19:49:26 +08:00 via Android
“而且看 openid 应该是真实的”
没有检测有效性的吗? |
 |
9
JmmBite 2018-06-26 19:56:36 +08:00
服务器 IP 不是应该都 ban 掉的吗?
或者:疑似 IP 一经触发,正常返回,但是不记入统计 |
|
10
hahamy OP @des 为什么还要检查有效性?微信服务器返回的 openid,服务器间通信跟客户端无关,openid 并没有暴露给客户端
我说的应该真实,是说 openid 里的字符不像伪造的 |
 |
13
Bantes 2018-06-27 10:30:32 +08:00
刷接口了吧? openid 什么的直接提交到你接口,不通过页面访问当然没 UV,现在群控都是上万号的,专门薅羊毛
|
Select Language