公司的商城 App 被人一分钱下单，不知道他是怎么办到的

感觉是被修改二次打包了

w99wen

2016-09-27 13:30:34 +08:00

订单信息加盐加时间戳算出 md5 然后再加盐再算一次 md5 ，得到的值作为 sign 值防篡改。
要不被抓包了，看到了你订单的 url ，改下价格就下单，不是完蛋了。

Felldeadbird

2016-09-27 13:31:33 +08:00

服务端不验证用户购买商品的价格吗？
APP 发送的是什么价格就是什么价格吗？

w99wen

2016-09-27 13:31:55 +08:00

对了。楼主什么 app ？让我也研究一下啊。

neoblackcap

2016-09-27 13:32:21 +08:00

服务端不校验商品价格，客户端生产订单，大概就是这几个问题

how2code

2016-09-27 13:32:51 +08:00

下面两条都能避免这个情况
1. 从收款处（支付宝、微信）回调验证用户付款金额，不仅仅是判断付款是否成功
2. 直接验证用户提交的订单信息；数据是可以伪造的

jimyan

2016-09-27 13:33:24 +08:00

用的微擎?有个一分钱漏洞，可以网上查

shijingshijing

2016-09-27 13:34:25 +08:00

我来引战：这就是让前端来写全套的后果！ 23333333

ersic

2016-09-27 13:35:35 +08:00

@viator42 验证订单的金额和订单商品价格是否一致。

blackfire

2016-09-27 13:36:33 +08:00

我只想问楼主什么公司？

我本人是做 APP 的，跟后台商量接口的时候，凡是涉及到金额的问题，我对他们最大要求就是，永远不要高估用户的智商，永远不要低估用户的智商，永远不要相信我提交的数据。

viator42

2016-09-27 13:36:34 +08:00

@Felldeadbird 价格是客户端算好了传过去的,得加上一堆优惠什么的,后端思维清奇,说是这样减少服务器压力

daolin

2016-09-27 13:37:45 +08:00

一分钱漏洞，前段时间那个微擎微信系统有这个 bug

chaichaichai

2016-09-27 13:38:10 +08:00

@viator42 23333 ，贵司的 app 叫什么名字

jarlyyn

2016-09-27 13:38:16 +08:00

@viator42

这样的后端可以开了……

diefishfish

2016-09-27 13:38:39 +08:00

现在玩 fd 的人真是越来越多了

reus

2016-09-27 13:38:41 +08:00

@w99wen 客户端加盐有什么用？你会加，攻击者不会加？服务器端验证才是正解。

4641585

2016-09-27 13:38:49 +08:00

@shijingshijing

这锅前端不背…

后端校验不是常识吗…

缺乏常识的锅（

Ouyangan

2016-09-27 13:39:18 +08:00

很大可能是被篡改数据了 , 加签名验证吧

reus

2016-09-27 13:40:45 +08:00

@viator42 不是减少服务器端压力，是他不用写验证代码了，减少了他的工作量。报告上司把他开了吧，这样的人只会害了贵司。

Felldeadbird

2016-09-27 13:41:33 +08:00

晕。。后端也太自信了。估计后端没做过啥项目吧。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/309265

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.