V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
hahamy
V2EX  ›  问与答

微信内抽奖活动,被刷了,百度统计无数据,说明不是真机内的微信客户端?为啥能突破微信授权

  •  
  •   hahamy · 2018-06-26 18:20:07 +08:00 · 2936 次点击
    这是一个创建于 2341 天前的主题,其中的信息可能已经有所发展或是发生改变。
    流程:用户进入抽奖活动页面,获取微信 openid,限制一个 openid 一天只能只能抽奖 3 次(session 标识用户)

    现象:发现这两天每天的新用户数有 5K 左右(数据库内记录的 openid 数),但百度统计一天只有一两百的 UV

    排查:根据 IP 排查,发现有些 IP,一个 IP 有几十个不同的 openid 登陆,而且看 openid 应该是真实的
    ipip.net 上查这些异常 IP,基本都是阿里云、美团云服务器的 IP

    猜测:有人用工具在刷奖

    问题:
    1、百度统计没统计上,说明不是在微信浏览器内访问的活动页面,那怎么能授权成功,让我获取到 openid ?
    2、如果是真机内的微信刷,那百度统计肯定会有数据?刷的人没必要屏蔽统计吧
    3、这种刷奖是不是已经有成熟的技术了?通过养一批号来实现
    15 条回复    2018-06-27 15:22:37 +08:00
    zpfhbyx
        1
    zpfhbyx  
       2018-06-26 18:56:53 +08:00
    群控了解一下
    qiayue
        2
    qiayue  
       2018-06-26 19:02:37 +08:00
    如果是靠 session 来保存抽奖次数的话,他清掉 cookie,就可以一天抽奖无数次了。

    建议抽奖次数和 IP 绑定,增加黑产成本。

    抽奖被刷是必然的,一定要事先多做防御措施
    iX
        3
    iX  
       2018-06-26 19:16:36 +08:00
    没统计上多正常,我 7*24 挂梯子,统计 /广告类域名见一个封一个。。
    lttc119
        4
    lttc119  
       2018-06-26 19:19:47 +08:00 via Android
    窃取隐私而已,别问我为什么知道的,我也不知道我为什么知道的
    flyz
        5
    flyz  
       2018-06-26 19:34:27 +08:00 via Android
    赚客角度,明显被刷了。
    hahamy
        6
    hahamy  
    OP
       2018-06-26 19:34:56 +08:00
    @zpfhbyx 群控就是那种一个机房成百上千台手机对吗,他们会屏蔽页面内的统计代码?
    hahamy
        7
    hahamy  
    OP
       2018-06-26 19:36:01 +08:00
    @qiayue 微信授权拿到 openid 就确定了用户,清掉 cookie 进来还是能识别,所以只要是一个微信号,那么就只能抽 3 次
    des
        8
    des  
       2018-06-26 19:49:26 +08:00 via Android
    “而且看 openid 应该是真实的”
    没有检测有效性的吗?
    JmmBite
        9
    JmmBite  
       2018-06-26 19:56:36 +08:00
    服务器 IP 不是应该都 ban 掉的吗?

    或者:疑似 IP 一经触发,正常返回,但是不记入统计
    hahamy
        10
    hahamy  
    OP
       2018-06-26 20:15:45 +08:00
    @des 为什么还要检查有效性?微信服务器返回的 openid,服务器间通信跟客户端无关,openid 并没有暴露给客户端
    我说的应该真实,是说 openid 里的字符不像伪造的
    hahamy
        11
    hahamy  
    OP
       2018-06-26 20:16:14 +08:00
    @JmmBite 没服务器 IP 库,所以程序里不好屏蔽啊,只能事后查
    yuanfnadi
        12
    yuanfnadi  
       2018-06-27 01:07:16 +08:00 via iPhone
    @hahamy 什么网站
    Bantes
        13
    Bantes  
       2018-06-27 10:30:32 +08:00
    刷接口了吧? openid 什么的直接提交到你接口,不通过页面访问当然没 UV,现在群控都是上万号的,专门薅羊毛
    hahamy
        14
    hahamy  
    OP
       2018-06-27 15:21:36 +08:00
    @Bantes openid 不是前端提交的,前端只有浏览器 session
    不在微信浏览器内拿不到微信的授权,按理应该是真机访问,拿到 cookie id,传递 cookie id 刷接口,所以每天必须有第一次的访问 uv,而实际情况是完全没有 uv,这就是我疑惑的地方
    hahamy
        15
    hahamy  
    OP
       2018-06-27 15:22:37 +08:00
    @yuanfnadi 就是个转盘抽奖的活动页面,单独开的二级域名
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1108 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:28 · PVG 07:28 · LAX 15:28 · JFK 18:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.