微信: tp413000
电话: 15844225301
网址:www.jlshiqiang.com
微信投票活动中,发起投票的情况有两种,一种是发起投票的服务器是独立的,只是借用了微信的投票平台,在微信平台进行投票后,会有一个投票转发操作,一个发起投票的服务器将被转发到发起的服务器。
另外一种是微信服务器直接发起投票的操作,这种情况下,就不需要进行投票转发操作,投票情况直接由微信服务器控制。人工投票活动中需要的是微信帐号进行投票,而在微信平台上有一个关于微信帐号的规则,即每一个加了微信帐号的OpenID,每个用户的OpenID在微信平台上。
因此,当用户投票后,如果需要将投票转发给独立服务器,微信平台将使用POST参数将包含投票用户的OpenID信息转发给投票服务器,投票服务器在收到微信平台发送的投票POST请求后,将在自己的服务器上通过OpenID对比OpenID确认同一微信帐号。
若没有必要转发到投票服务器,则直接在微信服务器上确认OpenID投票。如果是独立的投票服务器在收到POST请求时,只能根据这个发送来的OpenID的投票次数来判断,但由于不能使用来自微信服务器的数据,则不能验证此OpenID的真实性,这是人工投票活动的一个大漏洞。
即使直接使用微信服务票进行投票活动,虽然可以直接验证OpenID的真实性,但仅需利用技术手段将一些OpenID正确的微信账号绑定到投票操作即可通过此验证。利用这个漏洞就很容易用一些技术手段来实现微信的投票操作。
