哈哈，赞，我就是这么调试的

把 session_id 提供给其他人 合适么 ……

@xiqingongzi 技术门槛的降低非常重要
其实 ‘ AI ’ 刷分已经在 v 站发布很长时间了，不过通过 POST 方式降低了技术门槛，让更多人能够操作

楼主整理总结的不错，刷分其实只是一个噱头，有意思的点最后还是需要落在技术上。

楼主的思路是对的。
1. 抓包得到的链接里是有鉴权码的，但是不带鉴权码也可以访问，说白了就是 CDN 的漏洞，资源访问验权失效
2. 小程序 wxapkg 文件也是可以从手机提取的，已经有人发帖子写出详细了

@lrdcq 非常尴尬了，看来我 gist 里原始代码的链接需要纠正下了，原谅我没有去考据一下。既然贴了博客，我就去看看

@lrdcq 其实就是解压缩，这个早就有人研究过 https://share.whuboy.com/weapp.html

@yagnqionggo 非常有意思的点。我把原始请求头发上来你就应该明白啦，注意看 UA
-H 'Accept: */*' -H 'Accept-Encoding: gzip' -H 'Cache-Control: no-cache' -H 'Connection: Keep-Alive' -H 'Content-Type: application/octet-stream' -H 'Host: 123.125.9.32' -H 'User-Agent: MicroMessenger Client'

@fe619742721 看防御成本，在成本允许的范围的，前端尽可能做混淆提高复杂度。没有其他好的办法，毕竟前端是代码和数据都在攻击方手里。

@mason961125 哈哈哈，话说昨晚他们还升级了两个版本呢，今天一点动静都没有……

@kiistar 前面有人提到了，应该是 cdn

@mysteri0uss 没太明白用油猴的好处，是不用装 node 吗？

昨晚 12 点任然在写代码……

@yagnqionggo

@wzw 最早一版是 py 的，可以在 gist 的修改历史里看到。后面 py 版加解密有点问题，拿 node 重写了，有兴趣你可以改改。

@xqin 纯娱乐，悠着点玩就好

@cfans1993 每周成绩在周一会自动清零

@uglyer appid 是公开的，小程序码 识别处理出来的信息里应该就包含