感觉是被修改二次打包了
请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 3538 days ago, the information mentioned may be changed or developed.
Supplement 1 Sep 27, 2016
最大的问题还是商品的价格由客户端计算,原价减优惠券减积分得出最终的价格.服务端想校验也不知道商品应该是多少钱所以就变成这样了.还好数据量不大有人工校验订单
求 App 名的就歇歇吧,看热闹的不嫌事大
求 App 名的就歇歇吧,看热闹的不嫌事大
 | 1 nightv2 Sep 27, 2016 服务端没有验证? |
 | 2 millson Sep 27, 2016 服务器端不做验证吗?永远不要相信“用户输入” |
 | 3 yonka Sep 27, 2016 无论几次打包都没区别吧。 这明明是服务端的锅... |
 | 6 strongcoder Sep 27, 2016 验证什么??? 听到这个就感觉悬了.... |
 | 8 ma125125t Sep 27, 2016 验证什么??? 听到这个就感觉悬了....。。。 |
 | 9 wlzcool Sep 27, 2016 验证什么??? 听到这个就感觉悬了.... |
 | 10 bao3 Sep 27, 2016 via Android 安全,一定要经过两次以上的验证。 |
 | 11 tscat Sep 27, 2016 via iPhone 服务器要校验一次订单信息吧。是用户改了 post 包目测 |
 | 12 ixiaozhi Sep 27, 2016 付款成功,服务器回调 |
 | 13 dantegg Sep 27, 2016 服务端不验证订单信息? |
 | 14 kouryu Sep 27, 2016 via iPhone 喷了 我知道的某个公司,不管搞啥都能被人 1 分钱下单或者 bug 价! |
 | 16 zhuangzhuang1988 Sep 27, 2016 服务器没验证呗, 和阿里巴巴的月饼一样 |
 | 17 Sunshow Sep 27, 2016 验证什么??? 听到这个就感觉悬了.... |
 | 18 HanSonJ Sep 27, 2016 我只想问楼主什么公司 |
 | 19 killerv Sep 27, 2016 想起了上次那个在客户端生成订单的帖子…… |
 | 20 likai Sep 27, 2016 验证什么??? 听到这个就感觉悬了.... |
| 21 likai Sep 27, 2016 lz 什么 APP.我也去下个单 |
 | 22 w99wen Sep 27, 2016 订单信息加盐加时间戳算出 md5 然后再加盐再算一次 md5 ,得到的值作为 sign 值防篡改。 要不被抓包了,看到了你订单的 url ,改下价格就下单,不是完蛋了。 |
 | 23 Felldeadbird Sep 27, 2016 服务端不验证用户购买商品的价格吗? APP 发送的是什么价格就是什么价格吗? |
| 24 w99wen Sep 27, 2016 对了。楼主什么 app ?让我也研究一下啊。 |
 | 25 neoblackcap Sep 27, 2016 服务端不校验商品价格,客户端生产订单,大概就是这几个问题 |
 | 26 how2code Sep 27, 2016 下面两条都能避免这个情况 1. 从收款处(支付宝、微信)回调验证用户付款金额,不仅仅是判断付款是否成功 2. 直接验证用户提交的订单信息;数据是可以伪造的 |
 | 27 jimyan Sep 27, 2016 via Android 用的微擎?有个一分钱漏洞,可以网上查 |
 | 28 shijingshijing Sep 27, 2016 我来引战:这就是让前端来写全套的后果! 23333333 |
 | 30 blackfire Sep 27, 2016 我只想问楼主什么公司? 我本人是做 APP 的,跟后台商量接口的时候,凡是涉及到金额的问题,我对他们最大要求就是,永远不要高估用户的智商,永远不要低估用户的智商,永远不要相信我提交的数据。 |
 | 31 viator42 OP @Felldeadbird 价格是客户端算好了传过去的,得加上一堆优惠什么的,后端思维清奇,说是这样减少服务器压力 |
 | 32 daolin Sep 27, 2016 via iPhone 一分钱漏洞,前段时间那个微擎微信系统有这个 bug |
 | 33 chaichaichai Sep 27, 2016 @viator42 23333 ,贵司的 app 叫什么名字 |
 | 35 diefishfish Sep 27, 2016 via Android 现在玩 fd 的人真是越来越多了 |
 | 37 4641585 Sep 27, 2016 |
 | 38 Ouyangan Sep 27, 2016 很大可能是被篡改数据了 , 加签名验证吧 |
| 40 Felldeadbird Sep 27, 2016 晕。。后端也太自信了。估计后端没做过啥项目吧。 |
 | 44 yangtukun1412 Sep 27, 2016 @w99wen 要么你需要把 salt 和请求一起发给服务器, 要么硬编码在客户端. 两种方法都是可以比较方便地篡改的. 客户端签名最多只能当做数据完整性校验. |
 | 45 mogita Sep 27, 2016 前端带价格哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈这事竟然真能发生。 |
 | 46 9hills Sep 27, 2016 客户端不管是签名也好,加密也罢,都没有什么卵用。 |
 | 47 imn1 Sep 27, 2016 既然后端这样说,就让他背锅吧 |
 | 48 kideny Sep 27, 2016 有些公司为了省人力成本,让前端来写后台。极度讨厌那些压榨剩余劳动力的公司,技术就应该专业化。 |
 | 50 akira Sep 27, 2016 不需要二次打包,抓取到你提交的数据直接修改就可以了。这样的后端需要调教调教啊。。 |
 | 51 Penton Sep 27, 2016 APP : U 购 公司:济南靓萌服饰有限公司 别问我怎么知道的 |
 | 52 akring Sep 27, 2016 付款后服务器要检查订单金额和实际支付金额(微信,支付宝都有回调)的吧,安卓不说了, iOS 越狱设备改个参数分分钟的事情,毫无压力 |
| 53 Felldeadbird Sep 27, 2016 @Penton 一大波 1 分钱订单正在路上。。。后端和 APP 估计等着被炒了。祈祷。。 |
 | 55 deepjia Sep 27, 2016 via iPhone 真的应该开了……服务端验证是非编码人员都必须知道的最起码的常识啊 |
 | 56 BMW Sep 27, 2016 客户端计算价格。。。。。。。。。。。。。。。。。一万个问号 |
 | 59 pubby Sep 27, 2016 via Android @Felldeadbird 来吧,让那后端感受一下服务器压力 |
| 60 tscat Sep 27, 2016 优惠券。。。服务器也有优惠券的数据啊 |
 | 61 hasbug Sep 27, 2016 呃 |
 | 62 sarices Sep 27, 2016 哈哈,谁设计的流程啊?客户端计算价格也是厉害,竟然后端不知道实际价格,难道数据都在前端啊,后端就存数据库?不能查询商品价格?不能查询优惠券? |
 | 63 aidevs Sep 27, 2016 干得漂亮,请问 app 名字是什么? |
 | 64 MinonHeart Sep 27, 2016 没改成负的价钱已经很给面子了 |
 | 65 ccloli Sep 27, 2016 via Android 楼主还好,这边还见过某平台有人提交负数结果还成功了 23333 |
 | 66 keyfunc Sep 27, 2016 验证什么??? 听到这个就感觉悬了.... |
 | 70 huntzhan Sep 27, 2016 ......有点厉害 |
 | 71 yanyandenuonuo Sep 27, 2016 贵司还招后端么,会验证价格的那种 :) |
 | 72 reHuo Sep 27, 2016 服务器停了 |
 | 73 alamaya Sep 27, 2016 你这是前端把后端的事儿也做了? 这设计得就有问题 |
 | 74 imbahom Sep 27, 2016  1 不需要验证, 1 分钱下单的人是要被开除的! |
 | 75 daysv Sep 27, 2016 好久没见过这么好笑的笑话了 |
 | 76 rphoho Sep 27, 2016 拦到数据改完再提交吗,比如 burpsuite 之类的。 |
 | 77 fwings260 Sep 27, 2016 我又想起了之前做输入框 公司几个人嚷嚷着让我在前端验证的事情了。。。 |
 | 楼主,万一信息暴露到某吧,你们的人工审核就不干了 |
| 80 4641585 Sep 27, 2016 via iPad 你补充的那些东西…后端都不保存信息吗…这后端有毛用… |
 | 82 alouha Sep 27, 2016 哈哈,服务器不校验,还不知道校验啥…… |
 | 83 sampeng Sep 27, 2016 CTO 的锅,没有脑子的 CTO 才会同意价格在客户端算 |
 | 84 bigdogbigpig PRO 我只求一个 APP 的名字哈哈哈 |
 | 85 winglight2016 Sep 27, 2016 function+sp ,哈哈,十几年没见过这种后台实现方式了,好怀念啊~~~~ |
 | 86 cpp255 Sep 27, 2016 客户端做订单价格计算,心真大。 |
 | 87 watzds Sep 27, 2016 via Android 大 bug |
 | 88 BuilderQiu Sep 27, 2016 |
 | 89 yghack Sep 27, 2016 二次打包就更严重了 这么奇葩,在客户端算价格 厉害 |
 | 90 zylll520 Sep 27, 2016 想起来上次有个客户端生成订单号的... |
 | 91 wobuhuicode Sep 27, 2016 赶紧去写个 JS 小脚本来抢个月饼~哦不,应该是抢个单 |
| 92 likai Sep 27, 2016 看到补充.更加觉得不可思议, 前端知道优惠卷,积分.后端居然不知道. 这优惠卷积分哪来的?自己脑补的么 |
 | 94 xrlin Sep 27, 2016 这。。。需求文档估计也有问题,服务端居然不知道价格和优惠信息 |
 | 95 WhyAreYouSoSad Sep 27, 2016 虽然是后端建议前端这样做的,但感觉这样的事应该是码农都改知道的啊 |
 | 96 fuxkcsdn Sep 27, 2016 这还需要二次打包?? 偷懒的方法,安装个 fiddler 就搞定了 |
 | 97 linKnowEasy Sep 27, 2016 明显后端需要校验的啊。。 不然抓个包, 模拟一下 post 。。。你们公司估计要破产 |
 | 99 FreeDog Sep 27, 2016 果然简历不能随便贴 / 帐号不能太特别。。 |
 | 100 soland Sep 27, 2016 商品的价格由客户端计算? 心真大!!! |
Select Language