曾经网易云音乐的音乐分享链接携带了用户明文 id ,可以直接通过拼接网址得到用户主页。
前天发现网易云音乐似乎为这个举措在安全层面下了功夫加固了数据,好歹终于不是明文,研究一番下来发现却也和明文差不多,做了个工具直接直接解析用户主页,比较粗糙,仅仅能用而已,有需要的自取。
https://findneteasecloudmusicuser.nclgclub.com/
more: 作为非安全专业的同学也很想吐槽一下网易云音乐的用户 id 加密设计,出发点是好的,但是用点心噻。 这是一个拍拍脑袋就知道不合适的设计,代码 review 竟然也能过。不如给我个面试机让我试试。
欢迎各位反馈使用中遇到的问题,我所能支持的测试场景有限,还是非常希望能够收到大家的反馈。
1
ufan0 OP 话说上大学的时候,和女神关系更进一步的助力便是从她朋友圈得到了她的网易云音乐账号主页地址,分析她的音乐喜好......
最后的结果就是和女神一起去各种音乐节啦~ 那时候还没有疫情,回忆满满都是美好~ |
2
regent 2022-08-28 21:00:42 +08:00
谢谢,qq 音乐的也类似吗?能否也加入 qq 音乐的分析功能
|
3
cydysm 2022-08-28 21:01:52 +08:00 via iPhone
这个从一开始到现在就是这样
|
6
thinking80 2022-08-28 21:17:38 +08:00
桌面 wx 获取的是纯歌曲链接,op 是如何解析朋友圈分享的?
|
7
fortree 2022-08-28 21:48:30 +08:00
网易云音乐中,自己账号记录有某首歌的留评记录,但该首歌可能因为没版权原因下架了,还根据评论页回查该歌的歌名吗?这样可以去其他平台播放
|
8
ufan0 OP @thinking80 #6 本质上其都只是同样的 url ,朋友圈你的你可以尝试转发至聊天窗口,打开后复制地址可以验证我说的场景。这个在工具页面也有提示的。
|
10
falsemask 2022-08-28 22:46:23 +08:00
想知道 op 的研究过程,不知道方不方便透露
|
12
ufan0 OP |
13
falsemask 2022-08-29 12:23:06 +08:00
@ufan0 这个我以前也发现过,最早是 userid 参数,后来是 uct 参数,我以为会服务端加密或者单向 hash
|
15
thinking80 2022-08-30 01:07:09 +08:00 1
@ufan0 可能是 wx 版本不一样,实测是添加进收藏后再转发出去能获取到所需 url 。好工具,已分享!蟹蟹
|
16
ufan0 OP |
17
thinking80 2022-08-31 09:32:57 +08:00
@ufan0 op ,上面的网站进不去了
|
18
ufan0 OP |
19
thinking80 2022-08-31 09:46:52 +08:00
@ufan0 soga ,我昨天推了一下,刚刚上去看了下超过 2000 人收藏关注了,op 的工具深得女性用户的喜爱啊
|
20
ufan0 OP |
21
thinking80 2022-08-31 10:40:54 +08:00 via Android 2
@ufan0 http://xhslink.com/gpeNij ,这种类型的工具放 xhs 最合适了,方便抓渣男。如果有闲情还可以持续完善下,如之前的收藏依然是使用原始的方法通过 id 获取主页,以及支持更多的渠道,像微博等。甚至你有空还可以搭个公众号有机会屯一波私域流量(用户发送链接-自动匹配解析方案)。
|
22
ufan0 OP |
23
ufan0 OP @thinking80 看了这个链接。营销鬼才啊!封面图也做的高大上,老表厉害。
|
24
thinking80 2022-08-31 13:17:46 +08:00
@ufan0 哈哈哈惭愧惭愧,期待 op 做出更多有趣的产品
|
25
Talion 2022-11-04 23:44:16 +08:00
怎么打不开了啊
|
27
Talion 2022-11-09 17:08:04 +08:00 1
好像不行了,现在朋友圈的链接从 uct 变成了 uct2 ,dlt=2048 变成了 dlt=0846
|
30
hesicheng20 208 天前
谢谢你开发的工具!
|