V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 3513 days ago, the information mentioned may be changed or developed.
感觉是被修改二次打包了
Supplement 1 · Sep 27, 2016
最大的问题还是商品的价格由客户端计算,原价减优惠券减积分得出最终的价格.服务端想校验也不知道商品应该是多少钱所以就变成这样了.还好数据量不大有人工校验订单
求 App 名的就歇歇吧,看热闹的不嫌事大
求 App 名的就歇歇吧,看热闹的不嫌事大
 |
1
nightv2 Sep 27, 2016
服务端没有验证?
|
 |
2
millson Sep 27, 2016
服务器端不做验证吗?永远不要相信“用户输入”
|
 |
3
yonka Sep 27, 2016
无论几次打包都没区别吧。 这明明是服务端的锅...
|
 |
6
strongcoder Sep 27, 2016
验证什么???
听到这个就感觉悬了.... |
 |
8
ma125125t Sep 27, 2016
验证什么???
听到这个就感觉悬了....。。。 |
 |
9
wlzcool Sep 27, 2016
验证什么???
听到这个就感觉悬了.... |
 |
10
bao3 Sep 27, 2016 via Android
安全,一定要经过两次以上的验证。
|
 |
11
tscat Sep 27, 2016 via iPhone
服务器要校验一次订单信息吧。是用户改了 post 包目测
|
 |
12
ixiaozhi Sep 27, 2016
付款成功,服务器回调
|
 |
13
dantegg Sep 27, 2016
服务端不验证订单信息?
|
 |
14
kouryu Sep 27, 2016 via iPhone
喷了
我知道的某个公司,不管搞啥都能被人 1 分钱下单或者 bug 价! |
 |
16
zhuangzhuang1988 Sep 27, 2016
服务器没验证呗, 和阿里巴巴的月饼一样
|
 |
17
Sunshow Sep 27, 2016
验证什么???
听到这个就感觉悬了.... |
 |
18
HanSonJ Sep 27, 2016
我只想问楼主什么公司
|
 |
19
killerv Sep 27, 2016
想起了上次那个在客户端生成订单的帖子……
|
 |
20
likai Sep 27, 2016
验证什么???
听到这个就感觉悬了.... |
|
21
likai Sep 27, 2016
lz 什么 APP.我也去下个单
|
 |
22
w99wen Sep 27, 2016
订单信息加盐加时间戳算出 md5 然后再加盐再算一次 md5 ,得到的值作为 sign 值防篡改。
要不被抓包了,看到了你订单的 url ,改下价格就下单,不是完蛋了。 |
 |
23
Felldeadbird Sep 27, 2016
服务端不验证用户购买商品的价格吗?
APP 发送的是什么价格就是什么价格吗? |
|
24
w99wen Sep 27, 2016
对了。楼主什么 app ?让我也研究一下啊。
|
 |
25
neoblackcap Sep 27, 2016
服务端不校验商品价格,客户端生产订单,大概就是这几个问题
|
 |
26
how2code Sep 27, 2016
下面两条都能避免这个情况
1. 从收款处(支付宝、微信)回调验证用户付款金额,不仅仅是判断付款是否成功 2. 直接验证用户提交的订单信息;数据是可以伪造的 |
 |
27
jimyan Sep 27, 2016 via Android
用的微擎?有个一分钱漏洞,可以网上查
|
 |
28
shijingshijing Sep 27, 2016
我来引战:这就是让前端来写全套的后果! 23333333
|
 |
30
blackfire Sep 27, 2016
我只想问楼主什么公司?
我本人是做 APP 的,跟后台商量接口的时候,凡是涉及到金额的问题,我对他们最大要求就是,永远不要高估用户的智商,永远不要低估用户的智商,永远不要相信我提交的数据。 |
 |
31
viator42 OP @Felldeadbird 价格是客户端算好了传过去的,得加上一堆优惠什么的,后端思维清奇,说是这样减少服务器压力
|
 |
32
daolin Sep 27, 2016 via iPhone
一分钱漏洞,前段时间那个微擎微信系统有这个 bug
|
 |
33
chaichaichai Sep 27, 2016
@viator42 23333 ,贵司的 app 叫什么名字
|
 |
35
diefishfish Sep 27, 2016 via Android
现在玩 fd 的人真是越来越多了
|
 |
37
4641585 Sep 27, 2016
|
 |
38
Ouyangan Sep 27, 2016
很大可能是被篡改数据了 , 加签名验证吧
|
|
40
Felldeadbird Sep 27, 2016
晕。。后端也太自信了。估计后端没做过啥项目吧。
|
 |
44
yangtukun1412 Sep 27, 2016
@w99wen
要么你需要把 salt 和请求一起发给服务器, 要么硬编码在客户端. 两种方法都是可以比较方便地篡改的. 客户端签名最多只能当做数据完整性校验. |
 |
45
mogita Sep 27, 2016
前端带价格哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈这事竟然真能发生。
|
 |
46
9hills Sep 27, 2016
客户端不管是签名也好,加密也罢,都没有什么卵用。
|
 |
47
imn1 Sep 27, 2016
既然后端这样说,就让他背锅吧
|
 |
48
kideny Sep 27, 2016
有些公司为了省人力成本,让前端来写后台。极度讨厌那些压榨剩余劳动力的公司,技术就应该专业化。
|
 |
50
akira Sep 27, 2016
不需要二次打包,抓取到你提交的数据直接修改就可以了。这样的后端需要调教调教啊。。
|
 |
51
Penton Sep 27, 2016
APP : U 购
公司:济南靓萌服饰有限公司 别问我怎么知道的 |
 |
52
akring Sep 27, 2016
付款后服务器要检查订单金额和实际支付金额(微信,支付宝都有回调)的吧,安卓不说了, iOS 越狱设备改个参数分分钟的事情,毫无压力
|
|
53
Felldeadbird Sep 27, 2016
@Penton 一大波 1 分钱订单正在路上。。。后端和 APP 估计等着被炒了。祈祷。。
|
 |
55
deepjia Sep 27, 2016 via iPhone
真的应该开了……服务端验证是非编码人员都必须知道的最起码的常识啊
|
 |
56
BMW Sep 27, 2016
客户端计算价格。。。。。。。。。。。。。。。。。一万个问号 ❓
|
 |
59
pubby Sep 27, 2016 via Android
@Felldeadbird 来吧,让那后端感受一下服务器压力
|
|
60
tscat Sep 27, 2016
优惠券。。。服务器也有优惠券的数据啊
|
 |
61
hasbug Sep 27, 2016
呃··
|
 |
62
sarices Sep 27, 2016
哈哈,谁设计的流程啊?客户端计算价格也是厉害,竟然后端不知道实际价格,难道数据都在前端啊,后端就存数据库?不能查询商品价格?不能查询优惠券?
|
 |
63
aidevs Sep 27, 2016
干得漂亮,请问 app 名字是什么?
|
 |
64
MinonHeart Sep 27, 2016
没改成负的价钱已经很给面子了
|
 |
65
ccloli Sep 27, 2016 via Android
楼主还好,这边还见过某平台有人提交负数结果还成功了 23333
|
 |
66
keyfunc Sep 27, 2016
验证什么???
听到这个就感觉悬了.... |
 |
70
huntzhan Sep 27, 2016
......有点厉害
|
 |
71
yanyandenuonuo Sep 27, 2016
贵司还招后端么,会验证价格的那种 :)
|
 |
72
reHuo Sep 27, 2016
服务器停了
|
 |
73
alamaya Sep 27, 2016
你这是前端把后端的事儿也做了?
这设计得就有问题 |
 |
74
imbahom Sep 27, 2016  1
不需要验证, 1 分钱下单的人是要被开除的!
|
 |
75
daysv Sep 27, 2016
好久没见过这么好笑的笑话了
|
 |
76
rphoho Sep 27, 2016
拦到数据改完再提交吗,比如 burpsuite 之类的。
|
 |
77
fwings260 Sep 27, 2016
我又想起了之前做输入框
公司几个人嚷嚷着让我在前端验证的事情了。。。 |
 |
78
VYSE Sep 27, 2016
楼主,万一信息暴露到某吧,你们的人工审核就不干了
|
|
80
4641585 Sep 27, 2016 via iPad
你补充的那些东西…后端都不保存信息吗…这后端有毛用…
|
 |
82
alouha Sep 27, 2016
哈哈,服务器不校验,还不知道校验啥……
|
 |
83
sampeng Sep 27, 2016
CTO 的锅,没有脑子的 CTO 才会同意价格在客户端算
|
 |
84
bigdogbigpig PRO 我只求一个 APP 的名字哈哈哈
|
 |
85
winglight2016 Sep 27, 2016
function+sp ,哈哈,十几年没见过这种后台实现方式了,好怀念啊~~~~
|
 |
86
cpp255 Sep 27, 2016
客户端做订单价格计算,心真大。
|
 |
87
watzds Sep 27, 2016 via Android
大 bug
|
 |
88
BuilderQiu Sep 27, 2016
|
 |
89
yghack Sep 27, 2016
二次打包就更严重了
这么奇葩,在客户端算价格 厉害 |
 |
90
zylll520 Sep 27, 2016
想起来上次有个客户端生成订单号的...
|
 |
91
wobuhuicode Sep 27, 2016
赶紧去写个 JS 小脚本来抢个月饼~哦不,应该是抢个单
|
|
92
likai Sep 27, 2016
看到补充.更加觉得不可思议,
前端知道优惠卷,积分.后端居然不知道. 这优惠卷积分哪来的?自己脑补的么 |
 |
94
xrlin Sep 27, 2016
这。。。需求文档估计也有问题,服务端居然不知道价格和优惠信息
|
 |
95
WhyAreYouSoSad Sep 27, 2016
虽然是后端建议前端这样做的,但感觉这样的事应该是码农都改知道的啊
|
 |
96
fuxkcsdn Sep 27, 2016
这还需要二次打包??
偷懒的方法,安装个 fiddler 就搞定了 |
 |
97
linKnowEasy Sep 27, 2016
明显后端需要校验的啊。。
不然抓个包, 模拟一下 post 。。。你们公司估计要破产 |
 |
99
FreeDog Sep 27, 2016
果然简历不能随便贴 / 帐号不能太特别。。
|
 |
100
soland Sep 27, 2016
商品的价格由客户端计算?
心真大!!! |
Select Language