这是一个创建于 3305 天前的主题,其中的信息可能已经有所发展或是发生改变。
感觉是被修改二次打包了
第 1 条附言 2016-09-27 13:58:00 +08:00
最大的问题还是商品的价格由客户端计算,原价减优惠券减积分得出最终的价格.服务端想校验也不知道商品应该是多少钱所以就变成这样了.还好数据量不大有人工校验订单
求 App 名的就歇歇吧,看热闹的不嫌事大
求 App 名的就歇歇吧,看热闹的不嫌事大
 | 1 nightv2 2016-09-27 13:13:19 +08:00 服务端没有验证? |
 | 2 millson 2016-09-27 13:13:57 +08:00 服务器端不做验证吗?永远不要相信“用户输入” |
 | 3 yonka 2016-09-27 13:13:58 +08:00 无论几次打包都没区别吧。 这明明是服务端的锅... |
 | 6 strongcoder 2016-09-27 13:15:29 +08:00 验证什么??? 听到这个就感觉悬了.... |
 | 8 ma125125t 2016-09-27 13:16:37 +08:00 验证什么??? 听到这个就感觉悬了....。。。 |
 | 9 wlzcool 2016-09-27 13:17:54 +08:00 验证什么??? 听到这个就感觉悬了.... |
 | 10 bao3 2016-09-27 13:18:01 +08:00 via Android 安全,一定要经过两次以上的验证。 |
 | 11 tscat 2016-09-27 13:18:16 +08:00 via iPhone 服务器要校验一次订单信息吧。是用户改了 post 包目测 |
 | 12 ixiaozhi 2016-09-27 13:18:49 +08:00 付款成功,服务器回调 |
 | 13 dantegg 2016-09-27 13:19:20 +08:00 服务端不验证订单信息? |
 | 14 kouryu 2016-09-27 13:19:40 +08:00 via iPhone 喷了 我知道的某个公司,不管搞啥都能被人 1 分钱下单或者 bug 价! |
 | 16 zhuangzhuang1988 2016-09-27 13:22:29 +08:00 服务器没验证呗, 和阿里巴巴的月饼一样 |
 | 17 Sunshow 2016-09-27 13:26:33 +08:00 验证什么??? 听到这个就感觉悬了.... |
 | 18 HanSonJ 2016-09-27 13:27:02 +08:00 我只想问楼主什么公司 |
 | 19 killerv 2016-09-27 13:28:04 +08:00 想起了上次那个在客户端生成订单的帖子…… |
 | 20 likai 2016-09-27 13:28:39 +08:00 验证什么??? 听到这个就感觉悬了.... |
| 21 likai 2016-09-27 13:29:04 +08:00 lz 什么 APP.我也去下个单 |
 | 22 w99wen 2016-09-27 13:30:34 +08:00 订单信息加盐加时间戳算出 md5 然后再加盐再算一次 md5 ,得到的值作为 sign 值防篡改。 要不被抓包了,看到了你订单的 url ,改下价格就下单,不是完蛋了。 |
 | 23 Felldeadbird 2016-09-27 13:31:33 +08:00 服务端不验证用户购买商品的价格吗? APP 发送的是什么价格就是什么价格吗? |
| 24 w99wen 2016-09-27 13:31:55 +08:00 对了。楼主什么 app ?让我也研究一下啊。 |
 | 25 neoblackcap 2016-09-27 13:32:21 +08:00 服务端不校验商品价格,客户端生产订单,大概就是这几个问题 |
 | 26 how2code 2016-09-27 13:32:51 +08:00 下面两条都能避免这个情况 1. 从收款处(支付宝、微信)回调验证用户付款金额,不仅仅是判断付款是否成功 2. 直接验证用户提交的订单信息;数据是可以伪造的 |
 | 27 jimyan 2016-09-27 13:33:24 +08:00 via Android 用的微擎?有个一分钱漏洞,可以网上查 |
 | 28 shijingshijing 2016-09-27 13:34:25 +08:00 我来引战:这就是让前端来写全套的后果! 23333333 |
 | 30 blackfire 2016-09-27 13:36:33 +08:00 我只想问楼主什么公司? 我本人是做 APP 的,跟后台商量接口的时候,凡是涉及到金额的问题,我对他们最大要求就是,永远不要高估用户的智商,永远不要低估用户的智商,永远不要相信我提交的数据。 |
 | 31 viator42 OP @Felldeadbird 价格是客户端算好了传过去的,得加上一堆优惠什么的,后端思维清奇,说是这样减少服务器压力 |
 | 32 daolin 2016-09-27 13:37:45 +08:00 via iPhone 一分钱漏洞,前段时间那个微擎微信系统有这个 bug |
 | 33 chaichaichai 2016-09-27 13:38:10 +08:00 @viator42 23333 ,贵司的 app 叫什么名字 |
 | 35 diefishfish 2016-09-27 13:38:39 +08:00 via Android 现在玩 fd 的人真是越来越多了 |
 | 37 4641585 2016-09-27 13:38:49 +08:00 |
 | 38 Ouyangan 2016-09-27 13:39:18 +08:00 很大可能是被篡改数据了 , 加签名验证吧 |
| 40 Felldeadbird 2016-09-27 13:41:33 +08:00 晕。。后端也太自信了。估计后端没做过啥项目吧。 |
| 42 w99wen 2016-09-27 13:45:00 +08:00 |
 | 44 yangtukun1412 2016-09-7 13:50:13 +08:00 @w99wen 要么你需要把 salt 和请求一起发给服务器, 要么硬编码在客户端. 两种方法都是可以比较方便地篡改的. 客户端签名最多只能当做数据完整性校验. |
 | 45 mogita 2016-09-27 13:52:11 +08:00 前端带价格哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈这事竟然真能发生。 |
 | 46 9hills 2016-09-27 13:52:24 +08:00 客户端不管是签名也好,加密也罢,都没有什么卵用。 |
 | 47 imn1 2016-09-27 13:52:40 +08:00 既然后端这样说,就让他背锅吧 |
 | 48 kideny 2016-09-27 13:53:17 +08:00 有些公司为了省人力成本,让前端来写后台。极度讨厌那些压榨剩余劳动力的公司,技术就应该专业化。 |
 | 50 akira 2016-09-27 13:54:48 +08:00 不需要二次打包,抓取到你提交的数据直接修改就可以了。这样的后端需要调教调教啊。。 |
 | 51 Penton 2016-09-27 13:56:02 +08:00 APP : U 购 公司:济南靓萌服饰有限公司 别问我怎么知道的 |
 | 52 akring 2016-09-27 13:58:26 +08:00 付款后服务器要检查订单金额和实际支付金额(微信,支付宝都有回调)的吧,安卓不说了, iOS 越狱设备改个参数分分钟的事情,毫无压力 |
| 53 Felldeadbird 2016-09-27 13:58:59 +08:00 @Penton 一大波 1 分钱订单正在路上。。。后端和 APP 估计等着被炒了。祈祷。。 |
 | 55 deepjia 2016-09-27 14:00:26 +08:00 via iPhone 真的应该开了……服务端验证是非编码人员都必须知道的最起码的常识啊 |
 | 56 BMW 2016-09-27 14:00:50 +08:00 客户端计算价格。。。。。。。。。。。。。。。。。一万个问号 |
 | 59 pubby 2016-09-27 14:05:05 +08:00 via Android @Felldeadbird 来吧,让那后端感受一下服务器压力 |
| | 60 tscat 2016-09-27 14:06:20 +08:00 优惠券。。。服务器也有优惠券的数据啊 |
 | 61 hasbug 2016-09-27 14:09:07 +08:00 呃 |
 | 62 sarices 2016-09-27 14:10:27 +08:00 哈哈,谁设计的流程啊?客户端计算价格也是厉害,竟然后端不知道实际价格,难道数据都在前端啊,后端就存数据库?不能查询商品价格?不能查询优惠券? |
 | 63 dbfox 2016-09-27 14:14:04 +08:00 干得漂亮,请问 app 名字是什么? |
 | 64 MinonHeart 2016-09-27 14:14:14 +08:00 没改成负的价钱已经很给面子了 |
 | 65 ccloli 2016-09-27 14:16:09 +08:00 via Android 楼主还好,这边还见过某平台有人提交负数结果还成功了 23333 |
 | 66 keyfunc 2016-09-27 14:17:58 +08:00 验证什么??? 听到这个就感觉悬了.... |
 | 70 huntzhan 2016-09-27 14:23:10 +08:00 ......有点厉害 |
 | 71 yanyandenuonuo 2016-09-27 14:29:19 +08:00 贵司还招后端么,会验证价格的那种 :) |
 | 72 reHuo 2016-09-27 14:31:38 +08:00 服务器停了 |
 | 73 alamaya 2016-09-27 14:32:38 +08:00 你这是前端把后端的事儿也做了? 这设计得就有问题 |
 | 74 imbahom 2016-09-27 14:37:44 +08:00  1 不需要验证, 1 分钱下单的人是要被开除的! |
 | 75 daysv 2016-09-27 14:38:19 +08:00 好久没见过这么好笑的笑话了 |
 | 76 rphoho 2016-09-27 14:41:41 +08:00 拦到数据改完再提交吗,比如 burpsuite 之类的。 |
 | 77 fwings260 2016-09-27 14:42:01 +08:00 我又想起了之前做输入框 公司几个人嚷嚷着让我在前端验证的事情了。。。 |
 | 78 VYSE 2016-09-27 14:48:56 +08:00 楼主,万一信息暴露到某吧,你们的人工审核就不干了 |
 | 80 4641585 2016-09-27 14:56:01 +08:00 via iPad 你补充的那些东西…后端都不保存信息吗…这后端有毛用… |
 | 82 alouha 2016-09-27 15:02:07 +08:00 哈哈,服务器不校验,还不知道校验啥…… |
 | 83 sampeng 2016-09-27 15:02:39 +08:00 CTO 的锅,没有脑子的 CTO 才会同意价格在客户端算 |
 | 84 mazyi PRO 我只求一个 APP 的名字哈哈哈 |
 | 85 winglight2016 2016-09-27 15:06:31 +08:00 function+sp ,哈哈,十几年没见过这种后台实现方式了,好怀念啊~~~~ |
 | 86 cpp255 2016-09-27 15:16:21 +08:00 客户端做订单价格计算,心真大。 |
 | 87 watzds 2016-09-27 15:19:49 +08:00 via Android 大 bug |
 | 88 BuilderQiu 2016-09-27 15:20:27 +08:00 |
 | 89 yghack 2016-09-27 15:20:42 +08:00 二次打包就更严重了 这么奇葩,在客户端算价格 厉害 |
 | 90 zylll520 2016-09-27 15:21:25 +08:00 想起来上次有个客户端生成订单号的... |
 | 91 wobuhuicode 2016-09-27 15:21:58 +08:00 赶紧去写个 JS 小脚本来抢个月饼~哦不,应该是抢个单 |
| 92 likai 2016-09-27 15:24:44 +08:00 看到补充.更加觉得不可思议, 前端知道优惠卷,积分.后端居然不知道. 这优惠卷积分哪来的?自己脑补的么 |
 | 94 xrlin 2016-09-27 15:32:00 +08:00 这。。。需求文档估计也有问题,服务端居然不知道价格和优惠信息 |
 | 95 WhyAreYouSoSad 2016-09-27 15:37:02 +08:00 虽然是后端建议前端这样做的,但感觉这样的事应该是码农都改知道的啊 |
 | 96 fuxkcsdn 2016-09-27 15:38:36 +08:00 这还需要二次打包?? 偷懒的方法,安装个 fiddler 就搞定了 |
 | 97 linKnowEasy 2016-09-27 15:38:41 +08:00 明显后端需要校验的啊。。 不然抓个包, 模拟一下 post 。。。你们公司估计要破产 |
 | 99 FreeDog 2016-09-27 15:45:20 +08:00 果然简历不能随便贴 / 帐号不能太特别。。 |
 | 100 soland 2016-09-27 15:46:04 +08:00 商品的价格由客户端计算? 心真大!!! |
Select Language