感觉是被修改二次打包了
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 3541 days ago, the information mentioned may be changed or developed.
Supplement 1 · Sep 27, 2016
最大的问题还是商品的价格由客户端计算,原价减优惠券减积分得出最终的价格.服务端想校验也不知道商品应该是多少钱所以就变成这样了.还好数据量不大有人工校验订单
求 App 名的就歇歇吧,看热闹的不嫌事大
求 App 名的就歇歇吧,看热闹的不嫌事大
 |
101
konakona Sep 27, 2016
lz 不会是后端吧。...
后端不用验证?天啊... |
 |
102
qqmishi Sep 27, 2016 via Android
永远不要相信客户端数据,服务端必须验证。
你根本想象不到撸羊毛群里有多少人整天等着用 Fiddler 改数据。 |
 |
103
VRYANG Sep 27, 2016
哈哈... 看来大神多... 没事,坑趟多了就好了。我现在都想把客户端只做显示用,所有能不要的逻辑都撤掉..
|
 |
106
MountainRain Sep 27, 2016  1
就这种水平还要做 APP 啊。。。。。。
|
 |
108
corona Sep 27, 2016
后端不做校验,可以有多种方式修改价格
|
 |
110
explon Sep 27, 2016
神逻辑,怎么不把用户验证也打包到 APP 里面去
|
 |
112
luoyjx Sep 27, 2016
那你肯定是客户端传的什么价格你就用什么价格了,前端的价格只是用来显示的,顶多后端允许订单号、商品 id 、商品数量这类数据,服务端再自己计算一次价格
|
 |
113
GG668v26Fd55CP5W Sep 27, 2016 via iPhone
以前我就职的一家公司也是这样,买了一套 o2o 系统二次开发,也是 TM 一分钱购买,害我修改了大半天,吓死人
|
 |
115
v23ex Sep 27, 2016
LOW
|
 |
116
ijustdo Sep 27, 2016
找台笔记本 设置 wifi 代理 然后手机链接这个 wifi 然后 笔记本对流量抓包
撒分析不出来 偷懒的后台 然后 后台前台数据不加密 还有直接用 http/https 协议 api 的 ... 你们懂的.... 连微信都被抓包然后出来一堆微信机器人 你们后台咋这么自信呢 .... |
 |
117
issues Sep 27, 2016
干脆叫一分钱夺宝
|
 |
118
kevincai100 Sep 27, 2016
楼主,请谷哥 FD 大法
|
 |
119
PureDark Sep 27, 2016
后台不验证!价格由客户端传进来!赶紧报告公司把这个后端开了、
写接口时,要抱着这个接口是公开透明的,所有人都知道的想法来写,要写到就算所有人都知道接口,也没有办法钻漏洞 题外话 @ccloli 学弟最近怎么点进哪都能看到你 |
 |
120
ArthurTsang Sep 27, 2016
明显不应该客户端去计算,同样想起了上次客户端生成订单号的帖子
|
 |
121
acvrock Sep 27, 2016
哈哈,以前有人接入支付宝就是在手机端这么搞的,后来还在烦恼怎么生成唯一的订单号
|
 |
122
wclebb Sep 27, 2016 via iPhone
前一阵子被别人要你刚加入什么情报群,好奇进去了,一般都会禁言+群发各种一分钱,网上可以搜一分钱改什么的软件。貌似已经存在很久了,所以这个群主要是分享福利和收钱发一分钱订单之类的(偶尔有免费),经常看见一分钱或一块钱买几百手机或商品,偶尔发发优惠券。
有一次觉得像真的,联系,要求付 240 ,我就付了,然后发来 12 日领取苹果手机,我就知道被骗了,质疑后被踢开。 从此学乖了,当交了智商税,任何提供的 QQ 号手机号一律社工库。当然我也举报了,腾讯理所当然判定我没有证据(最近十条,有证据在最上面……),过一阵子后腾讯又发来通知我这号确定诈骗。 |
 |
123
qleroooo Sep 27, 2016
android 如果代码混淆过的话,想看懂的话还是比较麻烦的吧!可能被抓包了吧
|
|
124
wclebb Sep 27, 2016 via iPhone
@kevincai100 就是这个,估计已经成规模了,任何有一分钱的漏洞,都会群发到某个群,然后大家都会想办法去利用,最常见的是话费充值和商品送货,话费充值是他们最爱,因为无法追踪。地址起码还能知道在哪里。
|
 |
125
x86 Sep 27, 2016
价格您说的算...2333
|
 |
126
yilin101 Sep 27, 2016
楼主是微擎 或者微赞吗?
|
 |
127
realpg PRO 233333
都达不到普通工程师的水准就开始做涉及金钱的交易系统 |
 |
128
dassh Sep 27, 2016
试了下,还真可以。。建议赶紧停服务器,取消无效订单
|
 |
129
zacard Sep 27, 2016
后端不校验。这 app 都敢上线。。。
|
 |
130
austinchou0126 Sep 27, 2016
"看热闹的不嫌事大"
请问这种态度是来请教大家的么 hhhh |
 |
132
allce231 Sep 27, 2016
商品的价格由客户端计算?
你们真牛逼!!!! |
 |
133
panlilu Sep 27, 2016
我就是来歇歇的 2333
|
 |
134
JoyNeop Sep 27, 2016
说下 app 名字吧,大家一起帮楼主 debug (手动斜眼
|
 |
135
goofansu Sep 27, 2016
价格居然客户端算。。怎么想的
|
 |
136
ccloli Sep 27, 2016 via Android
|
 |
137
robinshi2010 Sep 27, 2016
我是吃瓜群众。
|
|
138
konakona Sep 27, 2016
@viator42 那貌似跟你没有多大关系。
APP 里的计算就算再多、再复杂,也只是避免了与 API 的通信以提供更好的用户体验而已。 进入数据库的东西必须是后端经过验证、二次计算后的,不能直接是用户的。 你们的后端也是奇葩。 |
 |
139
killerv Sep 27, 2016
刚才测试了一下,还可以正常下单,话说怎么退单啊……
|
 |
140
Light3 Sep 27, 2016
这个东西 肯定是后端给价格 别前端给价格 这样空子 抓包就能钻..
|
 |
141
bugmenein Sep 27, 2016
前端验证没有任何问题,都是后端不做二次验证的锅;另外这种后端属于没救的类型,直接开了;否则以后就是你们公司没救了。
|
 |
142
lcsoft Sep 27, 2016
按理来说 商品价格之类的信息、优惠信息都应该存在后端数据库里吧, APP 下单只是把商品 ID 、优惠 ID 之类的发给后端,后端再从数据库取出数据,然后生成订单。
|
 |
144
iyangyuan Sep 27, 2016 via iPhone
不知道说什么好了,就当做是学费吧
|
 |
145
YvesX Sep 27, 2016
“服务端想校验也不知道商品应该是多少钱”
……迷之设计。 |
 |
146
qinxi Sep 27, 2016
你家后端现在情绪稳定吗?
|
 |
147
ylcx123 Sep 27, 2016
|
|
148
ylcx123 Sep 27, 2016
|
 |
149
LokiSharp Sep 27, 2016
啊咧咧, Loki 可以帮你调试客户端的
|
 |
150
cocalrush Sep 27, 2016 via Android
不需要重新打包 拦截请求就可以了……
|
 |
151
gkiwi Sep 27, 2016
为什么后端不知道怎么校验。。
|
 |
152
DingSoung Sep 27, 2016
不要相信前端的数据!
不要相信移动端的数据! 不要相信任何端传过来的数据! |
|
153
DingSoung Sep 27, 2016
单价,钱,支付状态,这些都要后端自己去算和验证,不能用传过来的数据!
|
 |
155
eddiechen Sep 27, 2016
后端不做校验,这后端也是够牛。。。
|
 |
156
Lullaby Sep 27, 2016
商品的价格由客户端计算 这就是最大的问题
|
 |
157
SlipStupig Sep 27, 2016
请把 app 的名字告诉我,我来帮助你更好的修改 /duge
|
 |
158
irainsoft Sep 28, 2016
整个设计就尼玛有问题....上面无数人都讲了
现在直接数据传输强制 HTTPS 然后加后端验证吧:doge: |
 |
159
peneazy Sep 28, 2016
Fiddler 记一下
|
 |
160
w99wen Sep 28, 2016
@reus
恩。 彻底防止客户端的订单请求被篡改基本不可能,也只能是生成的订单最大限度防止篡改,然后服务端验证订单信息无误,返回支付的 url ,再用支付链接请求服务端进行关键的支付过程。这样就把最后的付款链接的创建逻辑隐藏在服务器端。 客户端能做的也只能是最大限度的防止订单信息被篡改。哎,密钥保存真是痛点,哪怕是 iOS 也是不是那么靠谱的。 |
 |
161
HarveyDent Sep 28, 2016
谁叫你们在技术上省成本,继续啊。
|
 |
162
peinhu Sep 28, 2016
商品的价格由客户端计算 666
|
 |
163
653513754 Sep 28, 2016
上次操盘手就是可以 1 分钱冲几百万,然后可以提现 及时到账 23333333
|
 |
164
lianxiaoyi Sep 28, 2016
很明显是服务端的锅 。。。。客户端所有的数据都是服务端给的。。。难道用户积分不是服务端给的吗???难道用户优惠卷信息不是服务端给的么?????无法验证。。。。这是今天看到的最好笑的笑话。。。。。
|
 |
165
hlh3727138 Sep 28, 2016
我靠 刚刚我去看了下我第一次工作写的代码 也是一个模拟商城的 价格也是从前端传过去的 后端没校验 他们还上线了 心里好慌怎么办。。。(主要这个功能前后端都是我一个人写的)
|
 |
166
Ahri Sep 28, 2016
666
|
 |
167
zichen0422 Sep 28, 2016
哈哈哈, 我公司也出现过这样的问题.
|
|
168
zichen0422 Sep 28, 2016
后端的锅, 后端不做校验, 作死
|
 |
169
jasonding Sep 28, 2016
表示看了楼主的基本介绍,一分钱下单再简单不过了好么。。。客户端计算后提交,而且服务端不校验。。。。心真大
|
 |
170
run2 Sep 28, 2016
lz 应该问问后端 有什么价格是前端能算 后端不能算的。。。
那你应该仔细检查下许多应该后端做而不是前端做的东西 !!!! 订单号、 优惠券的使用、价格、支付传参数到支付 API 的加密、 支付结果检查、 订单状态、 退款、 个人资料修改(有没有平行权限漏洞,比如使用了前端传的 userId ) |
 |
171
fjzjk Sep 28, 2016
怎么可能让客户端去处理价格的问题,你们的产品在干什么
|
 |
172
t40462860 Sep 28, 2016
听过 fiddler 吗?
|
 |
173
Yvette Sep 28, 2016
这都可以上线?
|
 |
174
xiaonengshou Sep 28, 2016
想了想,在开发范畴这种事还是客户端的工程师责任比较大。
|
 |
175
josephok Sep 28, 2016
验证什么???
听到这个就感觉悬了.... |
 |
176
TKKONE PRO 因为他们是没有公德心的 13 岁小神童
|
 |
177
hl Sep 28, 2016
服务端要有逻辑做 double check ,不是提交的时候做 double check ,而是在订单系统里做。服务端对用户订单做展示的时候二次过滤,凡是价格上与数据库里的比对不对的,根本不给客户做展示,就算有漏洞刷了一分钱订单,这个和数据库里的商品登记对应不上,也是不让用户能看到这订单的,这样给研发的很大的空间做修复。当然这里面价格比对要考虑到折扣,优惠活动这些条件。
|
 |
178
yongSir Sep 28, 2016
支付上
绝对不能相信客户端的验证 |
 |
179
zohan Sep 28, 2016
@xiaonengshou 带节奏我还是服你
|
|
180
xiaonengshou Sep 28, 2016
@zohan 遇到这样问题,客户端要去撕逼。
|
|
181
zohan Sep 29, 2016
@xiaonengshou 这就尴尬了
|
 |
182
icris Sep 29, 2016
不用改逻辑,正常下单正常支付不给发货,等两天封号,怎么说也赚了一分钱,运气好还能赚它一块钱呢
|
 |
183
jianghu521 Sep 29, 2016
https 啊, 这种优惠, 价格 应该后台验证
|
|
184
jianghu521 Sep 29, 2016
二次打包, 你们没有代码加固或者混淆吗
|
 |
185
iMono Sep 29, 2016
这。。。。。。。。。。。。。。。。后台。。。 233333333333
|
 |
186
julyclyde Sep 29, 2016
不是前后的问题
是压根就不应该允许客户提交单价这个数据 |
 |
187
5177748 Sep 29, 2016
感觉是赚吧大神出手了。。。。。。
|
 |
191
voocel Jun 7, 2017 via Android
@hlh3727138 这下慌了吧
|
Select Language