网页抓取解密(投稿作者为独立开发者朱鹏飞投稿的思路方法测试)

　　网页抓取解密(投稿作者为独立开发者朱鹏飞投稿的思路方法测试)

　　投稿作者为独立开发者朱鹏飞。他说，“看完文章后，我立即按照他的思路和方法进行了测试，然后下载了十几个官方微信小游戏源代码，纯粹研究学习。截至目前，我推在了文章的时候（2018年1月1日23:50），微信官方已经修复了这个漏洞，但是我觉得文章还是可以分享给开发者的，安全问题真的不能忽略了.”

　　雷锋网也注意到，朱说，一些老版本的微信仍然可以抓包，获取包地址。

　　以下资料选自朱鹏飞文章：

　　一、发现

　　一早起来就查了V2EX。看到一个帖子“可以直接跳微信改分数，POST请求没有验证……”我好奇进去看了看。

　　发现不仅可以跳过小游戏直接改分数，连微信小程序和小游戏的源码都可以直接下载。只需要知道appid和版本号就​​可以直接构造后缀wxapkg源码包的下载地址，不需要任何验证。

　　虽然下载的源码包是加密的，但是解密方法已经被V2EXer发现了，并且写了一个解密后的Python脚本，运行源码包就可以解压到一个文件夹中。

　　二、转载

　　第一步，我先尝试用帖子作者拼接的跳转源包地址进行测试，发现无需任何验证即可下载。你只需要知道地址，直接在任何浏览器或下载工具中打开即可下载。

　　第二步，使用帖子中的解压Python脚本将源码包解压为源码。

　　第三步，在本地微信开发者工具中创建一个空白的小程序或小游戏项目，不要选择快速启动模板。

　　第四步，将解压后的源码复制到新创建的项目目录下，开发者工具会提示编译错误，这个只需要新建一个game.json文件即可。

　　文件内容不能为空。编写一对大括号或添加 deviceOrientation 配置。这句话的意思是游戏是垂直进行的。

　　保存后发现游戏还是无法编译，需要修改最后一项。单击开发者工具右上角的详细信息按钮，将调试基础库更改为游戏。

　　好的，它已经启动并运行：

　　版权所有文章雷锋网，未经授权禁止转载。有关详细信息，请参阅重印说明。