未完成的漏洞，微信跳跃并跳入灾难？

在元旦假期之前，推出了微信小游戏功能，并且在朋友圈中快速刷了一个名为“跳一跳”的小游戏。无需直接下载微信小程序即可玩，玩简单，容易上瘾，还可以和朋友PK一起玩。

游戏和助攻（插件）就像一对好朋友，大部分时间都在那里。

为了争夺排名第一的位置，这款小游戏一夜之间激活了无数民间神灵，在微信迷你游戏中发现漏洞，出现了许多刷辅助助手，甚至直接伪造了POST请求来修改分数。 微信正式尝试修复漏洞，但很快就有民间专家揭露了新的伎俩。

“跳一跳”火了，同时催生某宝代刷链

让我们先来看看游戏“跳跃”的程度。

在2017年12月28日下午正式发布后，“跳跃跳跃”微信指数几乎上涨超过2亿，恰逢元旦的三天假期，热度持续上升。然后在整个网络上会有各种“跳跃跳跃”并提供帮助。

一个多才多艺的宝藏也出现在大量的AI助攻或代表点上，各大搜索引擎也出现了各种“跳一跳辅助”等关键词搜索。有一次，它导致了这个“我的排名”和“其他人”排名之间的差距。

迷你游戏功能上线，让微信小程序重新开火。想象一下，如果这个游戏不是由微信产生的，或者它不是基于小程序，你可以不用下载播放，或者没有微信的社交支持，它只是一个普通的小游戏。

利用漏洞，直接修改伪造POST请求刷分

在“跳跃”游戏之后，V2EX论坛很快就出现了大量的AI刷机工具，甚至能够通过捕获包直接捕获跳转游戏的源代码，直接伪造POST请求得分。一般过程如下：

详情请见原文：https://www.v2ex.com/t/419056?p=3

但是，微信官方元旦在半夜被修复，但是微信跳过了源代码已被泄露，很快就会出现新的捕获方法。在作者截止日期之前，2018年1月2日下午，仍有许多人使用发布的源代码成功获得POST。似乎微信小程序在安全性方面还不够完善。

对于技术爱好者来说，刷牙实际上没有多大意义，但真正的是对过程的探索;对于普通玩家来说，刷点仅仅是为了满足内心的一点虚荣，但却失去了游戏本身的意义。辅助的出现，短暂的游戏诞生是为了刷行业，满足少数玩家的需求，但它严重阻碍了普通玩家的积极性，继续，跳跃游戏很快被摧毁。

风险犹存，谨慎使用输分辅助

我仍然想提醒那些正在寻找助手或替补的人，或者不太关心排名。毕竟，它只是一个游戏，使用辅助或代理服务很可能给您的手机或帐户安全带来风险。

由于到目前为止出现的辅助工具尚不清楚有多少种安全性，因此对安全性存在疑虑，许多人需要Android手机或iPhone越狱的ROOT权限，这本身将给设备带来不小的风险。参考，在伪装《绝地求生》官方手机游戏传播采集病毒的情况之前，不排除这种含病毒的“跳”游戏辅助的出现。

某宝上已经初现不少人工代刷的服务，明确注明需要提供微信账号和密码，稍微有点警惕性的人都应该不至于把微信密码交给陌生人吧？个人微信账号安全不说，还有可能利用你的微信号传播其他诈骗信息，届时受影响的还会有你的朋友亲人。

最后，对于游戏刷分的行为，一般运营方都会极力打击的。除了日常的游戏漏洞修补之外，不排除后期微信官方上线刷分封禁账号等处罚规则，岂不是得不偿失。

因此，游戏本就是供娱ERP系统

乐，使用辅助或者代刷就没意义了。微信官方需要不断加强小游戏的安全性，普通玩家也需要一定的安全保护意识，玩游戏把游戏玩死就尴尬了……

*本文作者：Andy，转载请注明来自FreeBuf.COM

xxxx