实锤了！小组件偷ck，顺便把APP全部代码扒下来分享给大家

今天tg上看到的这个图，竟然有光明正大偷ck的，还被大佬给叭出来了，竟然会有如此可恶的行为，必须曝光一下。

这篇文章是标题党~还请兄弟们谅解，顺便请大家吃一下自己的瓜

刚刚写文章的时候再去找这个图的时候，在TG上已经找不到了~~~

图中的请求也确实是苍穹内的资产查询接口

如果是用过或者搭建过Saobing的，站内也有其他对接saobing的资产查询软件，应该都知道Saobing的资产查询接口长什么样，如下：

http://Saobing地址:Saobing端口/api/zc/

图中也是这个接口。。。这个接口请求必须得带CK，但是服务器却不会存储CK，post返回查询结果后，就结束了。

在写这个功能的时候，确实没有考虑太多，用我的软件的人甚至连CK怎么获取都不知道，我就把接口内置在APP里了，没想到却成背锅侠了。

不过Saobing的查询接口需要至少30s的请求时间，用的人多的时候甚至要等好几分钟...效果确实不行，可如今又没有更好的。

这波，我确实没考虑到位！是个教训

关于苍穹资产查询的代码是否安全

声明

1. APP更新检测需要get请求接口来获取最新版本的版本号，请求不带任何数据
2. 资产查询需要调用Saobing资产查询post请求接口，请求中带ck，但需用户自行填写自己搭建的查询接口
3. 口令转链【 https://api.jds.codes/jd/jCommand】、短链转长链【https://api.jds.codes/jd/s2l】则需要调用小熊猫的接口，为post请求，请求中带口令/短链
4. 首页图/小部件背景图，需用户自行设置图片url，为get请求，请求中不带任何参数
5. 除以上接口外，APP的所有请求均为本地运行到京东域名！

我群里只有一千多人，怎么说也得有一千人在用我的苍穹

可是截止到发文时，群里用过苍穹并且只在我这里挂的却没有发现一个盗刷的！！！一点都不夸张的说。反而是那些没有用苍穹的被盗刷了。不用质疑，可以上我群里看（非引流）

这里分享一下我这十多天的经历，上月月底的时候我把我车上的所有ck都强制失效了，并且换上了yyds的库，加密脚本全部禁用，kr的库全都禁用了（并不是说kr就有问题，只是上次那个玩家国度的赚京豆来的太突然了），并且我的APP里用户可以自行enen，我也经常提醒enen。

截至目前为之，我用的脚本库清清白白，苍穹也清清白白，所以也未发生意外。

正所谓，君子不立危墙之下，我已经把内置的接口去掉，大家可以自行搭建Saobing（站内有搭建教程），并且软件内需要用户自行填写Saobing接口地址，预览图如下：

有能力的朋友也可以自行打包APP，源码我已经放在了GitHub：https://github.com/baifan97/CangQiongZiChan，包括代码和资源文件，适配安卓12，支持64位运行，页面设计个人感觉还凑合，加了一点门槛，欢迎大家在评论区分享打包的经验。

附：【科技玩家】SaoBing全新版本升级-安装教程 

Saobing已经删库很久了，我用的是我很早以前拉的镜像了，大家想用Saobing的话可以自行想办法解决。

以后如果有时间的话，会把其他功能也单独开源。

涉及到的网络请求接口代码部分：

一些经验

今天在我群里跟他们唠了半天，还好群友都信任，自从上次我全部enen之后，包括我在内，群里只上了我的车的朋友都没有被盗刷

并且自从第一次有盗刷的事情之后，我就在APP内添加了enen功能，只让跑脚本的人操心也不一定安全，用户也应该掌握自己账号安全，用户可以自行使当前CK强制失效。时不时还艾特全体提醒群友。

开始写这个软件其实是因为Wj的小组件，但是咱有一些自己的想法，又不能让开发者来满足自己，只好自己开撸了。

前段时间天天熬代码，熬出来一身病，看这更新记录...我自己都惊讶，但是爱好也不能当饭吃，刚准备休息就整出来这事，整完这件事就休息一段时间。

参考tg上大佬总说的话，其实对于我们这种普通人来说，薅羊毛总归只是生命中的一小部分，还是多陪陪家人更重要，不说了，去陪舍友打游戏了~

加密脚本不是一般人能解密的，但是对安卓软件抓包却很容易，也欢迎有能力的人进行分析，只会嘴上功夫却没有脑子的就少跟风吧，别被别人当枪使了也不知道。

还是建议大家不要用苍穹，这是我给我的群里的朋友们用的，别人我信不过?。