微信跳一跳面世后高分神器也出现了

“跳一跳”面世后，“高分神器”也出现了

类似的漏洞还会带来更严重的灾难。2016 年，一个大二在校生利用某络购物平台的支付漏洞，把支付指令中的付款数据修改成 0.01 元，就能用 1 分钱购买大额话费了。

近日，带来了小游戏「跳一跳」。它的玩法很简单，用蓄力控制游戏人物在各种「箱子」间跳跃，考验玩家的控制能力。但一些友为了刷分，纷纷用了「高分神器」——外挂。

最有名的外挂要数「直接伪造 POST 请求刷分」。这个外挂的原理很简单：当游戏结束后，游戏成绩会从个人发送到服务器，问题发生在服务器没有对客户端发送的数据进行验证，也就是说，无论用户发送什么样的成绩，服务器都会相信。这样造成的结果是，只要用户使用黑客技术伪造一个分数，并「告诉」给服务器，你便获得了这个分数。

这个问题不是第一次发生，早在 2011 年前后， 空间推出了一系列的小游戏，在那时，也有人利用类似原理进行刷分。

图 / 空间 3366 小游戏刷分器

事实上，类似的漏洞还会带来更严重的灾难，如果支付数据被拦截并修改，很有可能造成无论充值多少，「只需支付 0.01 元」的情况。据澎湃报道，2016 年，一个大二在校生利用某络购物平台的支付漏洞，把支付指令中的付款数据修改成 0.01 元，就能用 1 分钱购买大额话费了。

大家看了很心疼又没办法。 据极客公园了解，小游戏「跳一跳」的源代码下载漏洞已经被修复；截至发稿前大约 5 小时，友发现上文中提到的「直接伪造 POST 请求刷分」漏洞也已经失效了。

图 / 友评论作弊已经失效（来自 V2EX）

但是，还有一类外挂不容易被抓到，那就是模拟用户操作的脚本外挂，程序会判断两个格子间的距离，计算按压时间，进行跳动。络上流传的主要有两种：一种是半自动的，用户手动定位起跳点和落地点，成功率很高，效率略低；另外一种是全自动的，成功率略低，但无需人工操作。

图 / 有悬浮定位圆点的脚本外挂

不过，使用了外挂，便没有什么游戏的乐趣了，人们需要的真的只是个排名吗？无数的游戏已经毁于外挂之手，人们需要的其实是游戏的乐趣。

同时，官方团队告诉极客公园，针对目前出现的外挂，跳一跳团队已经在进行相关打击，确认为使用外挂的，将会清除该用户的游戏分数；同时，友情提示大家，使用外挂会影响你在游戏中的真实排名，一些恶意外挂软件不排除会有其他风险，请耐下心来，慢慢体验游戏的乐趣。