诈骗技术分析

既然知道是骗子了。为什么要输入呢？？

@yanwen 同事说看到0.01元的金额无所谓什么的

延时了。
正常情况下，两次请求，第二次请求后第一次请求必须终止。
不正常的情况，第二次请求后，未生效，第一次继续有效。就是你同事发生的情况。

看起来是系统异常。

@gs038538 正常情况下不是一张订单对应一条短信验证码吗,就是失效短信里面的订单尾号也应该相同,可以看到第二条短信里面的订单尾号和第一条的不一样.另外实际被骗的金额恰好是两条短信里面的金额相加,这个有点奇怪.看截图

别研究了，从这个情况看问题已经很明显了……

验证码是和登录会话相关联的，一般验证码都是这样的形式，如果刷新验证码，那么就以新的验证码为准。一个验证码只能验证一次，无论正确失败都马上让这个验证码失效。（一个登录会话只存在一个有效的验证码，各页面通用）

而涉及到订单的操作，很显然这个逻辑就错误了(正常情况我们都不会想到这个问题，所以这是一个逻辑上的bug)……因为2个单是同一个登录会话，就相当于下N个订单，验证码互相是通用的（最后出现的那个验证码才是有效的，之前的会销毁，正确的情况应该一个订单一个验证码）

最后的诈骗方法就很简单了，用第二个验证码去验证第一个订单，自然就成功了……

就像网站验证码一样，你试试就知道了，开3个窗口，输入最后出现的那个验证码，在哪个窗口都可以登录。

好了，上面点赞。

同意楼上。。。
有时接验证码，手机没开机，开机以后第一条有时候会慢，所以就点重新发送，这时候输第二个和第一个都行吧。。。
不过有的网站两次发送会一样

@NewYear 不做成订单相关银行也应该有责任吧,做到和订单相关联安全性会提高不少.

这个也算是逻辑bug了...

@kingcos 从验证码设计的角度考虑，一般不会考虑多个验证码都能通过验证，为了防止暴力破解（或者随机值尝试）


@xiaohanqing 对，这是银行的问题，程序逻辑有错误，短信提示你是一毛钱的单，实际支付出去是几百块的单，说明这里太不严格了。

你查查0.1元那个是不是预授权？

讨论的重点难道不是。。看到899了。第一直觉是有问题，打电话改密码，打电话到银联。。。
为毛再来一个0.01还觉得无所谓= =！
1分钱不是钱啊？全国人民给我1分钱，秒秒钟辞职回家养老啊。

你的同事自以为一个验证码管一个订单
输入第二个验证码就是验证第二个订单