一款手游用游戏币购买东西被重复提交只扣一次钱.

2015-07-03 06:29:38 +08:00

xifangczy

一款手游用游戏币去抽卡，抽一次得到数据然后用工具不断并发的重复提交，你会只扣一次游戏币但是会得到很多卡牌。

我对这个非常好奇，到底是什么原因呢？我用http抓包看了提交的地址是php的。那如果解决会有什么样的解决办法？

我个人猜想这是数据库的问题，对游戏币的update操作被堵塞了。

5312 次点击

所在节点

游戏开发

18 条回复

jones

2015-07-03 07:24:36 +08:00

扣币和得卡没有在一个事务上下文

Laforet

2015-07-03 07:24:41 +08:00

也可能根本就没有验证，开环系统

imlonghao

2015-07-03 07:27:57 +08:00

http://drops.wooyun.org/papers/831

reeco

2015-07-03 08:11:26 +08:00

想起了很早以前sp游戏发短信也是这样的，而且到达一定次数之后道具就不再扣费了

zhicheng

2015-07-03 08:13:05 +08:00

锁表

acros

2015-07-03 08:27:04 +08:00

好多收费sdk做得是奇烂无比的，不知道从哪里开始吐槽好

popu111

2015-07-03 08:27:09 +08:00

何工具？（关注的点似乎有点歪啊）

mengzhuo

2015-07-03 08:36:04 +08:00

哎～
我司要是做这种接口，绝对先扣东西了再加卡～

beneo

2015-07-03 08:36:30 +08:00

提交form的时候，没有加上CSRF Token呗

lianyue

2015-07-03 08:45:34 +08:00

重放攻击而已很常见嗯购买先生成订单号就好了然后购买成功了更新订单号就好了 if ( update success=true ) == 1 就能防止了

future0906

2015-07-03 09:26:04 +08:00

初级错误，尤其是大部分倾向单机的手游，服务端只是随便搞；另外，通过短信走SP通道扣费的，丢单率都相当高

gamexg

2015-07-03 11:50:30 +08:00

稍微和 /t/202908 有些区别，扣费和增加道具分成两个部分了，而且获得道具部分也没做验证。

realpg

2015-07-03 12:02:01 +08:00

就跟提交后只要你不刷新验证码URL，验证码不失效一个性质……
就是逻辑做的严密性太差……

xifangczy

2015-07-03 12:12:11 +08:00

@popu111 http抓包的软件都可以把再怎么自己写个

xifangczy

2015-07-03 12:20:42 +08:00

我记得淘宝双11时候也有出现过商品超卖的情况.. 购买的数量超过了设置的库存。

popu111

2015-07-03 12:38:55 +08:00

@xifangczy 那我慢慢折腾去。。。

goodluckyang

2015-07-03 17:44:54 +08:00

没做去重校验吧。。

akira

2015-07-03 21:30:27 +08:00

服务器逻辑没写严密。

早期的端游才是各种奇葩bug都有啊。。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/202947

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.