JS-Code-Analyse bei der WeChat-QR-Code-Anmeldung

An vielen Orten gibt es Anwendungen wie QR-Code-Anmeldung, QR-Code-Zahlung, QR-Code-Konto (hier QR-Code-Stud, ganz zu schweigen von Betrug), QR-Code-Verifizierung, Multi-Terminal. Es gibt immer mehr Hilfsautorisierungsanwendungen . Lassen Sie uns zunächst darüber sprechen, was ein QR-Code ist. Tatsächlich ist ein QR-Code ein Schwarz-Weiß-Code, der Binärdaten speichert .html" target="_blank">BilderNachdem die Client-Webseite kontinuierlich https-Verbindungen an den Server gesendet hat, und zwar sehr Hier werden nur wenige Daten übertragen. Die Verbindung wird getrennt. Schauen wir uns die Datei login1c709c.

js

auf der WeChat-Webseite an:

Nachdem Sie die js sorgfältig gelesen haben, werden Sie sehen die Anfrage vom Web-Client. Auf der Anmeldeseite initiiert der Web-Client alle 500 Millisekunden eine SSL-Anfrage an den Server, um zu fragen, ob der aktuelle QR-Code von anderen Clients (Mobiltelefonen) autorisiert ist bedeutet, dass das gleiche Terminal, das den QR-Code gescannt hat, erhalten wurde. Wenn andere Umstände vorliegen, wird die Anfrage nach weiteren 500 Millisekunden erneut gesendet. Dieser Vorgang wird fortgesetzt, bis der QR-Code gescannt wird oder das Zeitlimit für den QR-Code abläuft. Zu den verwendeten Tools gehören: Paketerfassungstool Fidller, Chrome F12-Entwicklertool. Beachten Sie, dass der WeChat-Client über eine min-webmm1cba21.js verfügt, in der die XSS-Filterspezifikation deutlich sichtbar ist.

Das obige ist der detaillierte Inhalt vonJS-Code-Analyse bei der WeChat-QR-Code-Anmeldung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!