公司的商城 App 被人一分钱下单,不知道他是怎么办到的
viator42 · 2016-09-27 13:10:26 +08:00 via Android · 18924 次点击这是一个创建于 2964 天前的主题,其中的信息可能已经有所发展或是发生改变。
感觉是被修改二次打包了
第 1 条附言 · 2016-09-27 13:58:00 +08:00
最大的问题还是商品的价格由客户端计算,原价减优惠券减积分得出最终的价格.服务端想校验也不知道商品应该是多少钱所以就变成这样了.还好数据量不大有人工校验订单
求 App 名的就歇歇吧,看热闹的不嫌事大
求 App 名的就歇歇吧,看热闹的不嫌事大
 |
1
nightv2 2016-09-27 13:13:19 +08:00
服务端没有验证?
|
 |
2
millson 2016-09-27 13:13:57 +08:00
服务器端不做验证吗?永远不要相信“用户输入”
|
 |
3
yonka 2016-09-27 13:13:58 +08:00
无论几次打包都没区别吧。 这明明是服务端的锅...
|
 |
6
strongcoder 2016-09-27 13:15:29 +08:00
验证什么???
听到这个就感觉悬了.... |
 |
8
ma125125t 2016-09-27 13:16:37 +08:00
验证什么???
听到这个就感觉悬了....。。。 |
 |
9
wlzcool 2016-09-27 13:17:54 +08:00
验证什么???
听到这个就感觉悬了.... |
 |
10
bao3 2016-09-27 13:18:01 +08:00 via Android
安全,一定要经过两次以上的验证。
|
 |
11
tscat 2016-09-27 13:18:16 +08:00 via iPhone
服务器要校验一次订单信息吧。是用户改了 post 包目测
|
 |
12
ixiaozhi 2016-09-27 13:18:49 +08:00
付款成功,服务器回调
|
 |
13
dantegg 2016-09-27 13:19:20 +08:00
服务端不验证订单信息?
|
 |
14
kouryu 2016-09-27 13:19:40 +08:00 via iPhone
喷了
我知道的某个公司,不管搞啥都能被人 1 分钱下单或者 bug 价! |
 |
16
zhuangzhuang1988 2016-09-27 13:22:29 +08:00
服务器没验证呗, 和阿里巴巴的月饼一样
|
 |
17
Sunshow 2016-09-27 13:26:33 +08:00
验证什么???
听到这个就感觉悬了.... |
 |
18
HanSonJ 2016-09-27 13:27:02 +08:00
我只想问楼主什么公司
|
 |
19
killerv 2016-09-27 13:28:04 +08:00
想起了上次那个在客户端生成订单的帖子……
|
 |
20
likai 2016-09-27 13:28:39 +08:00
验证什么???
听到这个就感觉悬了.... |
|
21
likai 2016-09-27 13:29:04 +08:00
lz 什么 APP.我也去下个单
|
 |
22
w99wen 2016-09-27 13:30:34 +08:00
订单信息加盐加时间戳算出 md5 然后再加盐再算一次 md5 ,得到的值作为 sign 值防篡改。
要不被抓包了,看到了你订单的 url ,改下价格就下单,不是完蛋了。 |
 |
23
Felldeadbird 2016-09-27 13:31:33 +08:00
服务端不验证用户购买商品的价格吗?
APP 发送的是什么价格就是什么价格吗? |
|
24
w99wen 2016-09-27 13:31:55 +08:00
对了。楼主什么 app ?让我也研究一下啊。
|
 |
25
neoblackcap 2016-09-27 13:32:21 +08:00
服务端不校验商品价格,客户端生产订单,大概就是这几个问题
|
 |
26
how2code 2016-09-27 13:32:51 +08:00
下面两条都能避免这个情况
1. 从收款处(支付宝、微信)回调验证用户付款金额,不仅仅是判断付款是否成功 2. 直接验证用户提交的订单信息;数据是可以伪造的 |
 |
27
jimyan 2016-09-27 13:33:24 +08:00 via Android
用的微擎?有个一分钱漏洞,可以网上查
|
 |
28
shijingshijing 2016-09-27 13:34:25 +08:00
我来引战:这就是让前端来写全套的后果! 23333333
|
 |
30
blackfire 2016-09-27 13:36:33 +08:00
我只想问楼主什么公司?
我本人是做 APP 的,跟后台商量接口的时候,凡是涉及到金额的问题,我对他们最大要求就是,永远不要高估用户的智商,永远不要低估用户的智商,永远不要相信我提交的数据。 |
 |
31
viator42 OP @Felldeadbird 价格是客户端算好了传过去的,得加上一堆优惠什么的,后端思维清奇,说是这样减少服务器压力
|
 |
32
daolin 2016-09-27 13:37:45 +08:00 via iPhone
一分钱漏洞,前段时间那个微擎微信系统有这个 bug
|
 |
33
chaichaichai 2016-09-27 13:38:10 +08:00
@viator42 23333 ,贵司的 app 叫什么名字
|
 |
35
diefishfish 2016-09-27 13:38:39 +08:00 via Android
现在玩 fd 的人真是越来越多了
|
 |
37
4641585 2016-09-27 13:38:49 +08:00
|
 |
38
Ouyangan 2016-09-27 13:39:18 +08:00
很大可能是被篡改数据了 , 加签名验证吧
|
|
40
Felldeadbird 2016-09-27 13:41:33 +08:00
晕。。后端也太自信了。估计后端没做过啥项目吧。
|
|
42
w99wen 2016-09-27 13:45:00 +08:00
|
 |
44
yangtukun1412 2016-09-27 13:50:13 +08:00
@w99wen
要么你需要把 salt 和请求一起发给服务器, 要么硬编码在客户端. 两种方法都是可以比较方便地篡改的. 客户端签名最多只能当做数据完整性校验. |
 |
45
ck65 2016-09-27 13:52:11 +08:00
前端带价格哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈这事竟然真能发生。
|
 |
46
9hills 2016-09-27 13:52:24 +08:00
客户端不管是签名也好,加密也罢,都没有什么卵用。
|
 |
47
imn1 2016-09-27 13:52:40 +08:00
既然后端这样说,就让他背锅吧
|
 |
48
kideny 2016-09-27 13:53:17 +08:00
有些公司为了省人力成本,让前端来写后台。极度讨厌那些压榨剩余劳动力的公司,技术就应该专业化。
|
 |
50
akira 2016-09-27 13:54:48 +08:00
不需要二次打包,抓取到你提交的数据直接修改就可以了。这样的后端需要调教调教啊。。
|
 |
51
Penton 2016-09-27 13:56:02 +08:00
APP : U 购
公司:济南靓萌服饰有限公司 别问我怎么知道的 |
 |
52
akring 2016-09-27 13:58:26 +08:00
付款后服务器要检查订单金额和实际支付金额(微信,支付宝都有回调)的吧,安卓不说了, iOS 越狱设备改个参数分分钟的事情,毫无压力
|
|
53
Felldeadbird 2016-09-27 13:58:59 +08:00
@Penton 一大波 1 分钱订单正在路上。。。后端和 APP 估计等着被炒了。祈祷。。
|
 |
55
deepjia 2016-09-27 14:00:26 +08:00 via iPhone
真的应该开了……服务端验证是非编码人员都必须知道的最起码的常识啊
|
 |
56
BMW 2016-09-27 14:00:50 +08:00
客户端计算价格。。。。。。。。。。。。。。。。。一万个问号 ❓
|
 |
59
pubby 2016-09-27 14:05:05 +08:00 via Android
@Felldeadbird 来吧,让那后端感受一下服务器压力
|
|
60
tscat 2016-09-27 14:06:20 +08:00
优惠券。。。服务器也有优惠券的数据啊
|
 |
61
hasbug 2016-09-27 14:09:07 +08:00
呃··
|
 |
62
sarices 2016-09-27 14:10:27 +08:00
哈哈,谁设计的流程啊?客户端计算价格也是厉害,竟然后端不知道实际价格,难道数据都在前端啊,后端就存数据库?不能查询商品价格?不能查询优惠券?
|
 |
63
dbfox 2016-09-27 14:14:04 +08:00
干得漂亮,请问 app 名字是什么?
|
 |
64
MinonHeart 2016-09-27 14:14:14 +08:00
没改成负的价钱已经很给面子了
|
 |
65
ccloli 2016-09-27 14:16:09 +08:00 via Android
楼主还好,这边还见过某平台有人提交负数结果还成功了 23333
|
 |
66
keyfunc 2016-09-27 14:17:58 +08:00
验证什么???
听到这个就感觉悬了.... |
 |
70
huntzhan 2016-09-27 14:23:10 +08:00
......有点厉害
|
 |
71
yanyandenuonuo 2016-09-27 14:29:19 +08:00
贵司还招后端么,会验证价格的那种 :)
|
 |
72
reHuo 2016-09-27 14:31:38 +08:00
服务器停了
|
 |
73
alamaya 2016-09-27 14:32:38 +08:00
你这是前端把后端的事儿也做了?
这设计得就有问题 |
 |
74
imbahom 2016-09-27 14:37:44 +08:00  1
不需要验证, 1 分钱下单的人是要被开除的!
|
 |
75
daysv 2016-09-27 14:38:19 +08:00
好久没见过这么好笑的笑话了
|
 |
76
rphoho 2016-09-27 14:41:41 +08:00
拦到数据改完再提交吗,比如 burpsuite 之类的。
|
 |
77
fwings260 2016-09-27 14:42:01 +08:00
我又想起了之前做输入框
公司几个人嚷嚷着让我在前端验证的事情了。。。 |
 |
78
VYSE 2016-09-27 14:48:56 +08:00
楼主,万一信息暴露到某吧,你们的人工审核就不干了
|
|
80
4641585 2016-09-27 14:56:01 +08:00 via iPad
你补充的那些东西…后端都不保存信息吗…这后端有毛用…
|
 |
82
alouha 2016-09-27 15:02:07 +08:00
哈哈,服务器不校验,还不知道校验啥……
|
 |
83
sampeng 2016-09-27 15:02:39 +08:00
CTO 的锅,没有脑子的 CTO 才会同意价格在客户端算
|
 |
84
mazyi 2016-09-27 15:04:37 +08:00
我只求一个 APP 的名字哈哈哈
|
 |
85
winglight2016 2016-09-27 15:06:31 +08:00
function+sp ,哈哈,十几年没见过这种后台实现方式了,好怀念啊~~~~
|
 |
86
cpp255 2016-09-27 15:16:21 +08:00
客户端做订单价格计算,心真大。
|
 |
87
watzds 2016-09-27 15:19:49 +08:00 via Android
大 bug
|
 |
88
BuilderQiu 2016-09-27 15:20:27 +08:00
|
 |
89
yghack 2016-09-27 15:20:42 +08:00
二次打包就更严重了
这么奇葩,在客户端算价格 厉害 |
 |
90
zylll520 2016-09-27 15:21:25 +08:00
想起来上次有个客户端生成订单号的...
|
 |
91
wobuhuicode 2016-09-27 15:21:58 +08:00
赶紧去写个 JS 小脚本来抢个月饼~哦不,应该是抢个单
|
|
92
likai 2016-09-27 15:24:44 +08:00
看到补充.更加觉得不可思议,
前端知道优惠卷,积分.后端居然不知道. 这优惠卷积分哪来的?自己脑补的么 |
 |
94
xrlin 2016-09-27 15:32:00 +08:00
这。。。需求文档估计也有问题,服务端居然不知道价格和优惠信息
|
 |
95
WhyAreYouSoSad 2016-09-27 15:37:02 +08:00
虽然是后端建议前端这样做的,但感觉这样的事应该是码农都改知道的啊
|
 |
96
fuxkcsdn 2016-09-27 15:38:36 +08:00
这还需要二次打包??
偷懒的方法,安装个 fiddler 就搞定了 |
 |
97
linKnowEasy 2016-09-27 15:38:41 +08:00
明显后端需要校验的啊。。
不然抓个包, 模拟一下 post 。。。你们公司估计要破产 |
 |
99
FreeDog 2016-09-27 15:45:20 +08:00
果然简历不能随便贴 / 帐号不能太特别。。
|
 |
100
soland 2016-09-27 15:46:04 +08:00
商品的价格由客户端计算?
心真大!!! |
Select Language