微信唤醒支付宝红包的“另类”姿势

微信唤醒支付宝的“另类”姿势

前言

之前给大家发过一个链接:http://fankehui.cn/t/t.php,可以直接从微信中唤醒默认浏览器,接着唤醒支付宝领取红包,但是这种方式由于很流氓,很快速,未经用户察觉已经领取支付宝红包,方便了一大批薅羊毛的,所以微信将唤醒默认浏览器的方法给禁止了,你现在是无法在微信浏览器中打开这个链接唤醒支付宝的,难道真的没有办法很流氓的领红包了吗???下面我分成三节讲解微信唤醒支付宝的常规方法,还有我的另类姿势(很流氓)

第一节

一步走战略

其实每个手机浏览器中都自带了唤醒本地app的功能,微信内置浏览器也不例外,本质上浏览器是通过URL scheme打开APP,一个APP可以设置一个或多个打开自己的URL scheme。比如,Twitter就注册自己能被「twitter://」打开。

微信内置浏览器对这个功能进行了限制,除非一些和微信有合作的 app(例如京东,自家的应用宝) 可以进入到白名单,其他的应用在微信内都没办法通过自定义 scheme 协议直接唤起 app。这个咱们都可以理解,保护微信自身的流量。支付宝和微信属于竞争产品,肯定是无法唤醒了,因此一步走战略是行不通的。

第二节

两步走战略

既然一步走战略行不通,能不能一步分两步,进行一个中转???当然是可以的,一般有三种做法,其中一种已经被封!!!

1. 使用一个提示页,如下图所示,检测User-agent是微信浏览器的,则提示用户从浏览器中打开,然后通过默认浏览器来唤醒app。

2. 使用应用宝作为中转,因为应用宝是腾讯自家的应用市场,如果检测到了是在微信浏览器中,那么我们就先跳转到自家应用在应用宝中的链接,接着在应用宝中打开中app。例如知乎app,

3. 这3种办法和第1种办法本质上类似,也是通过浏览器作为中转,但是并不用提示页,而是通过编码的方式,调用微信内置浏览器的api打开默认浏览器进行唤醒,这种方式被用到这个http://fankehui.cn/t/t.php链接了,但是很不幸,微信发现这种跳转支付宝薅羊毛的方式后,就把这种方式给禁止了。不过还是补充一下它的原理,我把代码截一下图。

这种方法本质上是调用WeixinJSBridge的jumpToInstallUrl,从而调用出默认浏览器,进而唤醒了支付宝app。

第三节

另类姿势

说了一步走和两步走战略,现在大家用的也就两步走战略的第1和第2种方法,但是这两种方法太正规了,而且太繁琐,不够流氓,下面是我发现的另类的姿势,本质上还是借助浏览器跳转,但是有本质的区别,而且领支付宝红包的效果和之前一样流氓。

说一下经过和思路,前两天,在微信(android版)公众号上,看了一些安全相关的文章,然后他们提供了pdf文档的下载链接,我就把链接复制文件传输助手中,本来打算到电脑上下载,可是我在微信中直接点开,发现了有趣的一幕,微信浏览器对pdf文档的的处理方式不是预览,而是调用默认浏览器继续访问这个链接,让默认浏览器进行下载处理。

这一个细节引起了我的注意,明显我可以欺骗微信内置浏览器。思路如下

当我检测到是在微信浏览器中打开的链接,那直接告诉微信浏览器我是pdf文档,然后微信浏览器将这个链接提交给默认浏览器处理。当检测到默认浏览器去处理这个链接时,我就跳转到支付宝领红包。

思路就是如此简单,写了一个php的脚本,实现了这个功能,把他放到服务器下,又可以耍流氓地去领支付宝红包,薅羊毛了(ios版微信不行,因为ios是采用预览pdf的方式)。代码如下:

大家点击阅读原文,就可以看到效果了,当然ios的就不用凑热闹了。

视频内容

第四节

建议

给微信团队的一些建议:ios版和android版功能尽可能保持一致,将android版的pdf改成预览,防止又一大批薅羊毛的事情出现。

原文发布于微信公众号 - 七夜安全博客(qiye_safe)

原文发表时间:2018-01-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏DeveWork

WordPress评论回复邮件样式美化教程

在上一篇文章《 免插件仅代码实现WordPress评论回复邮件 》中Jeff 提供了三种回复邮件样式类型。在你将需要的类型实现后,如果去测试一下,你会发现邮件的...

1866
来自专栏强仔仔

利用AngularJS中ng-include实现静态HTML头文件和尾文件导入

今天给大家介绍一下如何利用AngularJS中ng-include实现静态HTML头文件和尾文件导入。 其实特别简单,第一步先引入AngularJS的js文件、...

2007
来自专栏SmartSql

SmartSql 常见问题

SmartSql 希望 开发人员更多的接触 Sql ,获得绝对的控制权与安全感。所以目前没有计划支持 Code First 编程模式。

1013
来自专栏张戈的专栏

移动SEO分享:php自动提交复合型Sitemap到百度搜索

导读:本文分享的是移动 sitemap 协议说明及生成复合型 sitemap 的方法。所谓复合型就是指一个 sitemap.xml 既包含了 pc 页,也包含了...

3695
来自专栏FreeBuf

Microsoft Outlook 爆严重漏洞,可允许远程代码执行

近期,微软发布了一系列补丁,修复了自身产品中一些影响广泛以及关键的Bug,其中包括更新了微软Office套件版本,解决了其中的部分安全问题。而安全专家研究发现,...

2189
来自专栏Crossin的编程教室

这个男人让你的爬虫开发效率提升8倍

他叫 Kenneth Reitz。现就职于知名云服务提供商 DigitalOcean,曾是云计算平台 Heroku 的 Python 架构师,目前 Github...

1043
来自专栏游戏杂谈

【转】Android开发在路上:少去踩坑,多走捷径

本文是我订阅“腾讯大讲堂”公众帐号时,他们推送的一篇文章,但在腾讯大讲堂官网上我并没有找到这篇文章,不过其它专门“爬”公众号文章的网站倒是有。我觉得写的很不错。...

493
来自专栏张戈的专栏

备案不被K:利用关站保护或搜索引擎线路解析确保无痛备案

最新消息:张戈博客已分享更完善的无痛备案技巧,欢迎查看!==>http://zhangge.net/5017.html 相信很多站长不想备案的绝大部分原因有 2...

4845
来自专栏张善友的专栏

2012 ASP.NET/IIS MVP

2012年4月1日晚上收到微软的邮件,告知我的ASP.NET/IIS MVP Renew成功 ,从2006开始已经连任ASP.NET MVP 7届。从2011年...

17010
来自专栏DeveWork

网站性能评分工具Yslow 使用教程

Yslow 这个工具相信无论是搞前端的攻城师或者是搞网站的站长都了解,Yslow 可比谷歌的PageSpeed 有名多了;那个百分制下的评分数据总让国人着迷,看...

2707

扫码关注云+社区