关于防止微信投票刷票行为的一些思考

最新推荐文章于 2024-04-19 12:51:22 发布
最新推荐文章于 2024-04-19 12:51:22 发布
阅读量1.4w 收藏 10
点赞数 3
分类专栏: 其它 文章标签: 微信 投票 漏洞 刷票 防止
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/massivestars/article/details/53926994
版权

背景介绍

微信投票在这几年一直很热门,只要是个活动往往都做一个投票的功能。刷票已形成了一个庞大的产业链但如何防止刷票行为就很让人头疼了。首先要清楚微信的刷票行为,微信投票是根据openid来判断一个用户是否已投过票。

openid是加密后的微信号,每个用户对每个公众号的openid是唯一的。

这个判断依据有较大的漏洞,就是只能判断openid是否重复,但无法校验openid是不是真实的。而且就算openid是真实的,刷票软件也有批量的正确openid。刷票软件就是通过使用HttpClient等类似客户端发包,把openid和投票信息post至服务器。由于刷票软件动态伪装ip,拥有大量openid,很容易就在没有完善防刷的应用投大量的票。

几种防止刷票的方法

1、只有关注了公众号才能投票

在服务调用获取用户基础信息的API

https://api.weixin.qq.com/cgi-bin/user/info?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN

access_token是全局调用凭证

接口会返回以下数据

{
    "subscribe": 1,        // 1为关注  0为未关注
    "openid": "o6_bmjrPTlm6_2sgVt7hMZOPfL2M", 
    "nickname": "Band", 
    "sex": 1, 
    "language": "zh_CN", 
    "city": "广州", 
    "province": "广东", 
    "country": "中国", 
    "headimgurl": , 
   "subscribe_time": 1382694957,
   "unionid": " o6_bmasdasdsad6_2sgVt7hMZOPfL"
   "remark": "",
   "groupid": 0
}

当用户投票且未关注时,我们可根据subscribe是0还是1判断有没有关注,若没有关注则转至公众号的二维码页面并提示用户先长按二维码关注公众号。此方法的缺点就是每次投票都要与微信服务器进行交互。

2、判断refer和User-Agent

以下为一个request header的部分参数示例:

Host:
localhost:8080
Origin:
http://localhost:8080
Pragma:
no-cache
Referer:
http://www.example.com/vote.jsp
User-Agent:
Mozilla/5.0 (iPhone; CPU iPhone OS 9_0_2 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) 
Mobile/13A452 MicroMessenger/6.2.3 NetType/WIFI Language/zh_CN
X-Requested-With:
XMLHttpRequest

Referer为上一个访问的页面,所以refer必须要为投票的页面地址。
User-Agent里面必须有关键词MicroMessenger

3、限制客户端投票次数

    用ip当成同一个ip投票次数受限制,由于很多时候使用nginx或apache之类的代理服务器,因此直接使用HttpServletRequest的getRemoteAddr()很多时候取得的是代理服务器的ip,而我们要取得的是真实的ip址。

下面是一个获取真实ip的示例代码

 public String getIpAddr() {
        String ip = request.getHeader("x-forwarded-for");
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("WL-Proxy-Client-IP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getHeader("CLIENTIP");
        }
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
            ip = request.getRemoteAddr();
        }
        return ip;
    }

很多刷票软件都使用ip代理池,所以ip限制只能一部分刷票行为。

4、当投票量大于阅读量时就是刷票行为

存储页面阅读量,投票完成后,计算票数若投票量大于阅读量时就是刷票行为。

5、在提交表单数据的地方使用校验码

服务端返回一个校验码,在dom初始化的时候页面使用js加密这个校验码,commit的时候提交这个加密的校验码,服务端再判断这个加密码的校验码是否正确。校验码设置使用N次后就作废。
以下为伪代码:

  • jsp页面
<%=request.setAttribute("_check_code_", UUID.randomUUID())%>;
var _check_code_salt_  = "gx=**&^%%$$###@#$---eeax221";
$(function(){
    var _check_code = '<%=request.getAttribute("_check_code_")%>';
});
$.ajax({
    url: "http://www.example.com/vote.do",
    params: { checkCode:  md5(_check_code + _check_code_salt_ ), openid: OPENID },
    type:"post",
    success:function() {

    }
});
  • 服务端处理
String checkCodeSalt = "gx=**&^%%$$###@#$---eeax221";
String serverCode = MD5.get((String) request.getAttribute("_check_code_") + checkCodeSalt);
String pageCode = (String) request.getAttribute("checkCode");
if (serverCode.equals(pageCode)) {
    response.setCharacterEncoding("UTF-8");
    response.setContentType("application/json; charset=utf-8");
    PrintWriter out = null;
    out = response.getWriter();
    out.append("{errorCode:'1'}");
    return;
} else {
    doSomething();
}

注:加一个加密的过程是为了让使用HttpClient的模拟访问行为变的更困难

以上的方法可结合项目的实际情况组合使用,五项组合起来使用基本上能杜绝大部分的刷票行为。

MassiveStars
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
laravel-easywechat-flexible-voting-system:微信投票系统,关注公众号进行投票(laravel54 + easywechat)
03-11
前台界面 后台界面 每日仅允许投一票 每次投票便记入投票表中。 代码采用实现方式一:判断票表(用户投票表)中存在用户的投票数据则无法再次进行投票,使用crontab定时任务每晚12:00清空投票表。 ,投票时执行+1。 每日允许多次投票扩展:判断表中分段出现的次数即可。 防止刷票 添加每日阅读次数,当“投票数/每日可投票数量>阅读数”则有刷票行为。那么每日对投票表进行清空就不是很科学了,就无法检测到每个作品的投票情况。 实现方式二:不用设置定时任务,对用户今天的投票进行检测,虽然之后也可以对作品的投票数据进行计数从而检测投票总数,不过保留表中的计数在数据量大的情况下有所优势。 注意事项 需要注意的是当初为了应付扩展,迎合需求,逐步实现作品分类统计。
西瓜微信登录
09-06
支持pc版、触屏版,自动、被动、无感知登录!!电脑版、触屏版同步登录 支持三方平台的多网页授权域名,一个公众号为多域名授权,一个公众号给多个网站使用。 可任意选两种流程:流程1:自动注册登录;流程2:注册时可以修改用户名、选择是否绑定。 微信秒登!支持电脑、手机触屏版微信登录网站。 无需绑定URL和Token,可以和任何DZ插件、模版兼容使用! 如站长没有认证服务号,请购买后与我们索取配置文档。 QQ秒登!免去完善信息的步骤。QQ登录网站,无需绑定已有账号!自动注册并登录。(此功能需要先开启QQ互联才可以) 可与其他pc模版、手机模版兼容一起使用。可替换手机版登录页面。 支持pc端自动/手动绑定,手机端自动/手动绑定。 无需申请QQ平台接入,零门槛。 QQ登录后可以自动获得:用户名、头像、生日、性别。微信登录可以得到微信名,头像等。 手机版登录页面:支持背景图(可随机),背景色,圆角,按钮颜色、文字,注册链接颜色、文字,透明度等。自动判断所处环境,展示不同的登录按钮。 本插件无需开通微社区。 预览地址:【西瓜】微信登录预览 小云APP打通版说明: 如未使用安米app/小云app请安装普通版本。 支持一个微信号登录电脑板、触屏版、小云app版,仅生成一个帐号,微信登录后是同一个帐号!完全互通。 在小云app使用微信登录的用户,用同样的微信号登录pc,触屏版,可以直接登录,不会生成新帐号。 在pc、触屏版使用微信登录的用户,用同样的微信号登录小云app,可以直接登录,不会生成新帐号。 精品应用推荐 【西瓜】积分充值 微信支付、支付宝支付 【西瓜】微信登录 微信登录、QQ登录 【西瓜】收费看贴 收费查看帖子,支持微信支付和支付宝,为论坛变现! 【西瓜】打赏商户版 站长可以拿提成的微信支付打赏 【西瓜】微信打赏 无需开通支付也可以现金打赏 【西瓜】微信版式 让手机版变成公众号的样子 【西瓜】积分商城 竞猜、竞拍、兑换、抽奖、任意购 【西瓜】微信投票 支持服务号、订阅号 【西瓜】发帖选板块 多样式选板块发帖 【西瓜】引导关注 引导关注、引导登录、引导下载APP 【西瓜】微社区认证 申请、展示认证 【西瓜】微社区活动 自动登录发布活动报名微活动 【西瓜】微社区 114 商家114加V创收利器 【西瓜】微社区门户 卡片式制作无限页面微社区门户 【西瓜】微社区文章 漂亮的文章页面,强大的分享、评论、页面展现 【西瓜】微社区美化 微社区必备美化 【西瓜】微首页聚合 微社区首页显示所有版块帖子 【西瓜】微社区导航 微社区33+6风格导航 【西瓜】微社区搜索 微社区搜索 【西瓜】微社区气泡 微社区发帖气泡 【西瓜】微社区会员 微社区修改用户名,资料 【西瓜】微社区广告 微社区10广告位利器 【西瓜】微社区签到 微社区动感签到 【西瓜】微社区 N格 微社区15栏目N格 【西瓜】微社区表态 微社区6风格表态 【西瓜】微社区版块 微社区清新版块|公告|热版 【西瓜】微社区分享 微社区社会化分享 【西瓜】微社区翻页 微社区6风格翻页上下篇内容美化
微信小程序 投票小程序
07-24
使用微信开发者工具实现投票微信小程序,可以实现发布投票等功能,亲测可用,适合微信小程序开发者学习使用。
公众号 关注_微信公众号的投票怎么做?如何设置公众号关注后投票
weixin_39806818的博客
01-10 814
其实微信公众号投票很简单,只要你有一个公众号就可以了。因为微信公众号不管是订阅号还是服务号都自带投票管理,点击投票管理,就可以创建投票活动了。同时在这里我也需要向大家说明,有很多文章说微信公众号投票必须要认证的,而且还必须是服务号才能使用投票,其实这是个错误的说法。不管是订阅号还是服务号都可以使用,而且不用认证。但是如果你想要的设置公众号关注投票的话,那就必须是要认证的微信公众号才可以设置。而且这...
Java后端对接微信支付(微信小程序、APP、PC端扫码)非常全,包含查单、退款
Airy的博客
12-14 8044
首先我们要明确目标,我们点击微信支付官网,我们主要聚焦于这三种支付方式,其中JSPAI与APP主要与uniapp开发微信小程序与APP对接,而NATIVE主要与网页端扫码支付对接 1.三种支付统一准备工作 建议导入这个jar,里面一些提供map和xml互转以及生成签名的函数,使用非常方便。 <dependency> <groupId>com.github.wxpay</groupId> <artifactId>wxpay-sdk&l
Java HttpClient 如何伪装微信浏览器进行POST请求
热门推荐
攻城狮子的博客
04-19 1万+
Java HttpClient 如何伪装微信浏览器进行POST请求当我用HttpClient的post去请求外部微信支付跳转时得到一个返回值:{"code":"XXXXXXXXX,"message":"请使用微信打开页面"}当时通过思考我想到了两个办法: 把这个POST请求放在页面上,通过Ajax去POST请求,由于是微信公众号跳转,所以跳转肯定是用微信跳转的 还是通过后台跳转,想办法发送请求的时
使用微信测试账号对网页进行授权
weixin_33743661的博客
05-18 817
如果用户在微信客户端中访问第三方网页,公众号可以通过微信网页授权机制,来获取用户基本信息,进而实现业务逻辑。我们在进行公众号网页开发的时候,想要获取用户的基本信息,首先得获取到access_token,从access_token里我们要拿出用户的openid来作为用户在我们系统中的唯一标识,以及通过openid可以保证该用户的只能访问到与其openid相对应的数据,防止越权漏洞。因此,我们需要对网...
一次微信朋友圈投票破解的尝试
choukun8124的博客
01-21 8736
先上结论: 进入投票页面的时候如果看到有页面跳转、重定向、或是微信授权,那多半是投票服务后端需要验证微信用户的openid,以实现一人一次投票,这样的投票几乎没有办法破解,因为你是在以一己之力对抗腾讯庞大的技术军团 - -!。 如果投票页面可以在浏览器上打开,并且不需要做登陆之类的...
关于投票活动主办方对于微信投票怎样刷票微信投票怎样查刷票
qq_42374828的博客
06-03 6641
关于投票活动主办方对于微信投票怎样刷票微信投票怎样查刷票,越来越多的人在平常生活中使用微信,以微信为载体的许多功能就被开发和使用了起来,比如——微信投票。于是乎,微信上兴起了各种投票,从小学生到gov部门的投票活动都有,,刷票交易也越来越火。刷票单纯在请求的技术手段上,都是正常的访问请求,基本是没法识别的,但它真的像吃瓜群众一样说的没法认出来吗?未必!1.水军为了做更多生意自曝身份,在微信昵称...
微信投票小程序
09-25
wxapp-survey-demo微信投票小程序,实现投票及计数统计功能
禁止刷票投票算法
10-31
主要是算法思想。程序不完整、下载请郑重。主要算法思想:根据每天投票次数设定,统计历史投票判定能否投票、加密投票对象的ID、加密IP传输参数、对投票区间数据统计、时间戳判定等主要是防止一般的机器刷票行为
微信投票微信刷票的技巧和意义
01-07
很多传统的投票也转移到微信平台上面,各种微信投票活动的兴起也让身处其中的人忙的不可开交。 目前所熟知拉票的方式不外乎: 1)发送链接至群内请求好友投票 2)发朋友圈请求好友投票 3)请求好友转发重复第一第二...
微信投票 PHP
08-19
微信投票——助您打开微信成功之门 注意:此插件完全依靠【禾今】微信助理并绑定微信公众开发接口,安装此插件前,请先安装【禾今】微信助理 功能介绍: 1、可设置开启和关闭限制投票用户IP区域,可限制省份限制,...
discuz插件之价值318元的微信投票插件分享
12-14
discuz插件之价值318元的微信投票插件分享
thinkphp微信投票系统
09-14
刷票功能,后台开启验证码,可微信对话框输入id投票微信投票管理系统源码可以自定义可投票地区ip,限制每个ip的投票次数。 新增人数总用户记录查看,独立的第三方统计代码放置位,让你了解投票给你带来的流量、...
python刷投票的脚本实现代码
01-20
原理就是用代理IP去访问投票地址。用到了多线程,速度飞快。 昨晚两个小时就刷了1000多票了,主要是代理IP不好找。 2.7环境下运行 #!/usr/bin/env python #-*- coding: utf-8 -*- import urllib2 from threading ...
微信域名防封/QQ域名防封/域名状态检测/域名防红防封API平台源码
QQ56669388的博客
04-19 678
然后,这套源码我已经成功搭建起来了,后台、个人(用户)中心和前台页面都能够正常打开,不过,因为这是18年的程序了,里面的域名的状态检测api接口早已失效,对接的是ikmil.com这个平台的接口,而这个网址已经打不开了!也就是说,本套源码的重要的api接口都失效了,但是基础的功能却是没问题的,如注册、登录、域名添加等等都正常运行!因此,这套源码并不适合一点二开技术都没有的朋友拿去研究,如果有api对接经验的话,倒是可以下载去折腾一下的!
c语言涂格子游戏源码.rar
04-22
c语言涂格子游戏源码.rar
node-v18.14.2-linux-armv7l.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
python微信刷票代码
12-27
根据提供的引用内容,以下是一个使用Python进行微信刷票的示例代码: ```python import requests import re def get_proxy_ips(): url = "http://api.xicidaili.com/free2016.txt" r = requests.get(url=url) all_url = re.findall("\d+\.\d+\.\d+\.\d+:\d+", r.text) with open("IP.txt", 'w') as f: for i in all_url: f.write(i) f.write(' ') return all_url def vote_with_proxy_ips(vote_url, proxy_ips): for ip in proxy_ips: proxies = { 'http': 'http://' + ip, 'https': 'https://' + ip } try: response = requests.get(vote_url, proxies=proxies) if response.status_code == 200: print("投票成功!") else: print("投票失败!") except: print("代理IP不可用!") # 使用示例 vote_url = "http://example.com/vote" proxy_ips = get_proxy_ips() vote_with_proxy_ips(vote_url, proxy_ips) ``` 这段代码首先通过请求获取代理IP地址,然后使用这些代理IP地址进行投票。每个代理IP地址都会尝试进行投票,如果投票成功则输出"投票成功!",否则输出"投票失败!"。如果代理IP不可用,则输出"代理IP不可用!"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值