微信唤醒支付宝红包的“另类”姿势

微信唤醒支付宝的“另类”姿势

前言

之前给大家发过一个链接:http://fankehui.cn/t/t.php,可以直接从微信中唤醒默认浏览器,接着唤醒支付宝领取红包,但是这种方式由于很流氓,很快速,未经用户察觉已经领取支付宝红包,方便了一大批薅羊毛的,所以微信将唤醒默认浏览器的方法给禁止了,你现在是无法在微信浏览器中打开这个链接唤醒支付宝的,难道真的没有办法很流氓的领红包了吗???下面我分成三节讲解微信唤醒支付宝的常规方法,还有我的另类姿势(很流氓)

第一节

一步走战略

其实每个手机浏览器中都自带了唤醒本地app的功能,微信内置浏览器也不例外,本质上浏览器是通过URL scheme打开APP,一个APP可以设置一个或多个打开自己的URL scheme。比如,Twitter就注册自己能被「twitter://」打开。

微信内置浏览器对这个功能进行了限制,除非一些和微信有合作的 app(例如京东,自家的应用宝) 可以进入到白名单,其他的应用在微信内都没办法通过自定义 scheme 协议直接唤起 app。这个咱们都可以理解,保护微信自身的流量。支付宝和微信属于竞争产品,肯定是无法唤醒了,因此一步走战略是行不通的。

第二节

两步走战略

既然一步走战略行不通,能不能一步分两步,进行一个中转???当然是可以的,一般有三种做法,其中一种已经被封!!!

1. 使用一个提示页,如下图所示,检测User-agent是微信浏览器的,则提示用户从浏览器中打开,然后通过默认浏览器来唤醒app。

2. 使用应用宝作为中转,因为应用宝是腾讯自家的应用市场,如果检测到了是在微信浏览器中,那么我们就先跳转到自家应用在应用宝中的链接,接着在应用宝中打开中app。例如知乎app,

3. 这3种办法和第1种办法本质上类似,也是通过浏览器作为中转,但是并不用提示页,而是通过编码的方式,调用微信内置浏览器的api打开默认浏览器进行唤醒,这种方式被用到这个http://fankehui.cn/t/t.php链接了,但是很不幸,微信发现这种跳转支付宝薅羊毛的方式后,就把这种方式给禁止了。不过还是补充一下它的原理,我把代码截一下图。

这种方法本质上是调用WeixinJSBridge的jumpToInstallUrl,从而调用出默认浏览器,进而唤醒了支付宝app。

第三节

另类姿势

说了一步走和两步走战略,现在大家用的也就两步走战略的第1和第2种方法,但是这两种方法太正规了,而且太繁琐,不够流氓,下面是我发现的另类的姿势,本质上还是借助浏览器跳转,但是有本质的区别,而且领支付宝红包的效果和之前一样流氓。

说一下经过和思路,前两天,在微信(android版)公众号上,看了一些安全相关的文章,然后他们提供了pdf文档的下载链接,我就把链接复制文件传输助手中,本来打算到电脑上下载,可是我在微信中直接点开,发现了有趣的一幕,微信浏览器对pdf文档的的处理方式不是预览,而是调用默认浏览器继续访问这个链接,让默认浏览器进行下载处理。

这一个细节引起了我的注意,明显我可以欺骗微信内置浏览器。思路如下

当我检测到是在微信浏览器中打开的链接,那直接告诉微信浏览器我是pdf文档,然后微信浏览器将这个链接提交给默认浏览器处理。当检测到默认浏览器去处理这个链接时,我就跳转到支付宝领红包。

思路就是如此简单,写了一个php的脚本,实现了这个功能,把他放到服务器下,又可以耍流氓地去领支付宝红包,薅羊毛了(ios版微信不行,因为ios是采用预览pdf的方式)。代码如下:

大家点击阅读原文,就可以看到效果了,当然ios的就不用凑热闹了。

视频内容

第四节

建议

给微信团队的一些建议:ios版和android版功能尽可能保持一致,将android版的pdf改成预览,防止又一大批薅羊毛的事情出现。

原文发布于微信公众号 - 七夜安全博客(qiye_safe)

原文发表时间:2018-01-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

安全研究员发现了多个IP地址利用已修复的PHP漏洞劫持Linux服务器

华盛顿大学的安全研究员Andre'DiMino注意到了多个IP地址试图利用一个已修复PHP漏洞劫持Linux服务器,他很好奇攻击者如何成功控制一台Linux服务...

36112
来自专栏数据和云

Linux系统被入侵后处理经历

春节将至,让安全伴你行。网络安全,从我做起,没有绝对的安全,只有尽可能减少攻击面,提供系统防护能。 背景 操作系统:Ubuntu12.04_x64 运行业务:公...

3717
来自专栏二次元

QQ、支付宝、微信收款码三合一

就是一个体现套字,包含上传二维码,识别二维码,生成三合一收款码,一整套流程服务。

4.8K2
来自专栏极客慕白的成长之路

记一次Linux服务器被入侵变矿机

3665
来自专栏醉程序

无线路由器实现校园网锐捷登陆并建立WIFI热点

2594
来自专栏FreeBuf

TP-link TL-WR840N系列路由器存在CSRF漏洞,可修改任意配置(含POC测试过程)

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负! TP-Link路由器在国内的用户量很大,最近国外安全研究者发现TP-...

25610
来自专栏CDA数据分析师

Excel简化办公系列之二 | 录制宏快速制作工资条

本文为CDA作者青菜原创文章,转载请注明来源 编者按:CDA作者青菜将在近期发布「Excel简化办公」系列文章,本文是第二篇;更多精彩请持续关注~ 今天午饭后和...

1978
来自专栏知识分享

2-学习GPRS_Air202(Air202开发板介绍和下载第一个程序)

1827
来自专栏小文博客

小文’s blog — win7最新升级win10教程

1353
来自专栏指尖下的Android

内存和缓存的区别

今天看书的时候又看到了内存和缓存,之所以说又,是因为之前遇到过查过资料,但是现在又忘了(图侵删)。

3842

扫码关注云+社区