? 目录
今天tg上看到的这个图,竟然有光明正大偷ck的,还被大佬给叭出来了,竟然会有如此可恶的行为,必须曝光一下。
这篇文章是标题党~还请兄弟们谅解,顺便请大家吃一下自己的瓜
刚刚写文章的时候再去找这个图的时候,在TG上已经找不到了~~~
图中的请求也确实是苍穹内的资产查询接口
如果是用过或者搭建过Saobing的,站内也有其他对接saobing的资产查询软件,应该都知道Saobing的资产查询接口长什么样,如下:
http://Saobing地址:Saobing端口/api/zc/
图中也是这个接口。。。这个接口请求必须得带CK,但是服务器却不会存储CK,post返回查询结果后,就结束了。
在写这个功能的时候,确实没有考虑太多,用我的软件的人甚至连CK怎么获取都不知道,我就把接口内置在APP里了,没想到却成背锅侠了。
不过Saobing的查询接口需要至少30s的请求时间,用的人多的时候甚至要等好几分钟…效果确实不行,可如今又没有更好的。
这波,我确实没考虑到位!是个教训
关于苍穹资产查询的代码是否安全
声明
- APP更新检测需要get请求接口来获取最新版本的版本号,请求不带任何数据
- 资产查询需要调用Saobing资产查询post请求接口,请求中带ck,但需用户自行填写自己搭建的查询接口
- 口令转链【 https://api.jds.codes/jd/jCommand】、短链转长链【https://api.jds.codes/jd/s2l】则需要调用小熊猫的接口,为post请求,请求中带口令/短链
- 首页图/小部件背景图,需用户自行设置图片url,为get请求,请求中不带任何参数
- 除以上接口外,APP的所有请求均为本地运行到京东域名!
我群里只有一千多人,怎么说也得有一千人在用我的苍穹
可是截止到发文时,群里用过苍穹并且只在我这里挂的却没有发现一个盗刷的!!!一点都不夸张的说。反而是那些没有用苍穹的被盗刷了。不用质疑,可以上我群里看(非引流)
这里分享一下我这十多天的经历,上月月底的时候我把我车上的所有ck都强制失效了,并且换上了yyds的库,加密脚本全部禁用,kr的库全都禁用了(并不是说kr就有问题,只是上次那个玩家国度的赚京豆来的太突然了),并且我的APP里用户可以自行enen,我也经常提醒enen。
截至目前为之,我用的脚本库清清白白,苍穹也清清白白,所以也未发生意外。
正所谓,君子不立危墙之下,我已经把内置的接口去掉,大家可以自行搭建Saobing(站内有搭建教程),并且软件内需要用户自行填写Saobing接口地址,预览图如下:
有能力的朋友也可以自行打包APP,源码我已经放在了GitHub:https://github.com/baifan97/CangQiongZiChan,包括代码和资源文件,适配安卓12,支持64位运行,页面设计个人感觉还凑合,加了一点门槛,欢迎大家在评论区分享打包的经验。
Saobing已经删库很久了,我用的是我很早以前拉的镜像了,大家想用Saobing的话可以自行想办法解决。
以后如果有时间的话,会把其他功能也单独开源。
涉及到的网络请求接口代码部分:
一些经验
今天在我群里跟他们唠了半天,还好群友都信任,自从上次我全部enen之后,包括我在内,群里只上了我的车的朋友都没有被盗刷
并且自从第一次有盗刷的事情之后,我就在APP内添加了enen功能,只让跑脚本的人操心也不一定安全,用户也应该掌握自己账号安全,用户可以自行使当前CK强制失效。时不时还艾特全体提醒群友。
开始写这个软件其实是因为Wj的小组件,但是咱有一些自己的想法,又不能让开发者来满足自己,只好自己开撸了。
前段时间天天熬代码,熬出来一身病,看这更新记录…我自己都惊讶,但是爱好也不能当饭吃,刚准备休息就整出来这事,整完这件事就休息一段时间。
参考tg上大佬总说的话,其实对于我们这种普通人来说,薅羊毛总归只是生命中的一小部分,还是多陪陪家人更重要,不说了,去陪舍友打游戏了~
加密脚本不是一般人能解密的,但是对安卓软件抓包却很容易,也欢迎有能力的人进行分析,只会嘴上功夫却没有脑子的就少跟风吧,别被别人当枪使了也不知道。
还是建议大家不要用苍穹,这是我给我的群里的朋友们用的,别人我信不过?。
原创文章,作者:生气猫,如若转载,请注明出处:https://zuiax.com/16072.html
