这是一个创建于 3401 天前的主题,其中的信息可能已经有所发展或是发生改变。
感觉是被修改二次打包了
第 1 条附言 · 2016 年 9 月 27 日
最大的问题还是商品的价格由客户端计算,原价减优惠券减积分得出最终的价格.服务端想校验也不知道商品应该是多少钱所以就变成这样了.还好数据量不大有人工校验订单
求 App 名的就歇歇吧,看热闹的不嫌事大
求 App 名的就歇歇吧,看热闹的不嫌事大
 |
1
nightv2 2016 年 9 月 27 日
服务端没有验证?
|
 |
2
millson 2016 年 9 月 27 日
服务器端不做验证吗?永远不要相信“用户输入”
|
 |
3
yonka 2016 年 9 月 27 日
无论几次打包都没区别吧。 这明明是服务端的锅...
|
 |
6
strongcoder 2016 年 9 月 27 日
验证什么???
听到这个就感觉悬了.... |
 |
8
ma125125t 2016 年 9 月 27 日
验证什么???
听到这个就感觉悬了....。。。 |
 |
9
wlzcool 2016 年 9 月 27 日
验证什么???
听到这个就感觉悬了.... |
 |
10
bao3 2016 年 9 月 27 日 via Android
安全,一定要经过两次以上的验证。
|
 |
11
tscat 2016 年 9 月 27 日 via iPhone
服务器要校验一次订单信息吧。是用户改了 post 包目测
|
 |
12
ixiaozhi 2016 年 9 月 27 日
付款成功,服务器回调
|
 |
13
dantegg 2016 年 9 月 27 日
服务端不验证订单信息?
|
 |
14
kouryu 2016 年 9 月 27 日 via iPhone
喷了
我知道的某个公司,不管搞啥都能被人 1 分钱下单或者 bug 价! |
 |
16
zhuangzhuang1988 2016 年 9 月 27 日
服务器没验证呗, 和阿里巴巴的月饼一样
|
 |
17
Sunshow 2016 年 9 月 27 日
验证什么???
听到这个就感觉悬了.... |
 |
18
HanSonJ 2016 年 9 月 27 日
我只想问楼主什么公司
|
 |
19
killerv 2016 年 9 月 27 日
想起了上次那个在客户端生成订单的帖子……
|
 |
20
likai 2016 年 9 月 27 日
验证什么???
听到这个就感觉悬了.... |
|
21
likai 2016 年 9 月 27 日
lz 什么 APP.我也去下个单
|
 |
22
w99wen 2016 年 9 月 27 日
订单信息加盐加时间戳算出 md5 然后再加盐再算一次 md5 ,得到的值作为 sign 值防篡改。
要不被抓包了,看到了你订单的 url ,改下价格就下单,不是完蛋了。 |
 |
23
Felldeadbird 2016 年 9 月 27 日
服务端不验证用户购买商品的价格吗?
APP 发送的是什么价格就是什么价格吗? |
|
24
w99wen 2016 年 9 月 27 日
对了。楼主什么 app ?让我也研究一下啊。
|
 |
25
neoblackcap 2016 年 9 月 27 日
服务端不校验商品价格,客户端生产订单,大概就是这几个问题
|
 |
26
how2code 2016 年 9 月 27 日
下面两条都能避免这个情况
1. 从收款处(支付宝、微信)回调验证用户付款金额,不仅仅是判断付款是否成功 2. 直接验证用户提交的订单信息;数据是可以伪造的 |
 |
27
jimyan 2016 年 9 月 27 日 via Android
用的微擎?有个一分钱漏洞,可以网上查
|
 |
28
shijingshijing 2016 年 9 月 27 日
我来引战:这就是让前端来写全套的后果! 23333333
|
 |
30
blackfire 2016 年 9 月 27 日
我只想问楼主什么公司?
我本人是做 APP 的,跟后台商量接口的时候,凡是涉及到金额的问题,我对他们最大要求就是,永远不要高估用户的智商,永远不要低估用户的智商,永远不要相信我提交的数据。 |
 |
31
viator42 OP @Felldeadbird 价格是客户端算好了传过去的,得加上一堆优惠什么的,后端思维清奇,说是这样减少服务器压力
|
 |
32
daolin 2016 年 9 月 27 日 via iPhone
一分钱漏洞,前段时间那个微擎微信系统有这个 bug
|
 |
33
chaichaichai 2016 年 9 月 27 日
@viator42 23333 ,贵司的 app 叫什么名字
|
 |
35
diefishfish 2016 年 9 月 27 日 via Android
现在玩 fd 的人真是越来越多了
|
 |
37
4641585 2016 年 9 月 27 日
|
 |
38
Ouyangan 2016 年 9 月 27 日
很大可能是被篡改数据了 , 加签名验证吧
|
|
40
Felldeadbird 2016 年 9 月 27 日
晕。。后端也太自信了。估计后端没做过啥项目吧。
|
 |
44
yangtukun1412 2016 年 9 月 27 日
@w99wen
要么你需要把 salt 和请求一起发给服务器, 要么硬编码在客户端. 两种方法都是可以比较方便地篡改的. 客户端签名最多只能当做数据完整性校验. |
 |
45
mogita 2016 年 9 月 27 日
前端带价格哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈这事竟然真能发生。
|
 |
46
9hills 2016 年 9 月 27 日
客户端不管是签名也好,加密也罢,都没有什么卵用。
|
 |
47
imn1 2016 年 9 月 27 日
既然后端这样说,就让他背锅吧
|
 |
48
kideny 2016 年 9 月 27 日
有些公司为了省人力成本,让前端来写后台。极度讨厌那些压榨剩余劳动力的公司,技术就应该专业化。
|
 |
50
akira 2016 年 9 月 27 日
不需要二次打包,抓取到你提交的数据直接修改就可以了。这样的后端需要调教调教啊。。
|
 |
51
Penton 2016 年 9 月 27 日
APP : U 购
公司:济南靓萌服饰有限公司 别问我怎么知道的 |
 |
52
akring 2016 年 9 月 27 日
付款后服务器要检查订单金额和实际支付金额(微信,支付宝都有回调)的吧,安卓不说了, iOS 越狱设备改个参数分分钟的事情,毫无压力
|
|
53
Felldeadbird 2016 年 9 月 27 日
@Penton 一大波 1 分钱订单正在路上。。。后端和 APP 估计等着被炒了。祈祷。。
|
 |
55
deepjia 2016 年 9 月 27 日 via iPhone
真的应该开了……服务端验证是非编码人员都必须知道的最起码的常识啊
|
 |
56
BMW 2016 年 9 月 27 日
客户端计算价格。。。。。。。。。。。。。。。。。一万个问号 ❓
|
 |
59
pubby 2016 年 9 月 27 日 via Android
@Felldeadbird 来吧,让那后端感受一下服务器压力
|
|
60
tscat 2016 年 9 月 27 日
优惠券。。。服务器也有优惠券的数据啊
|
 |
61
hasbug 2016 年 9 月 27 日
呃··
|
 |
62
sarices 2016 年 9 月 27 日
哈哈,谁设计的流程啊?客户端计算价格也是厉害,竟然后端不知道实际价格,难道数据都在前端啊,后端就存数据库?不能查询商品价格?不能查询优惠券?
|
 |
63
dbfox 2016 年 9 月 27 日
干得漂亮,请问 app 名字是什么?
|
 |
64
MinonHeart 2016 年 9 月 27 日
没改成负的价钱已经很给面子了
|
 |
65
ccloli 2016 年 9 月 27 日 via Android
楼主还好,这边还见过某平台有人提交负数结果还成功了 23333
|
 |
66
keyfunc 2016 年 9 月 27 日
验证什么???
听到这个就感觉悬了.... |
 |
70
huntzhan 2016 年 9 月 27 日
......有点厉害
|
 |
71
yanyandenuonuo 2016 年 9 月 27 日
贵司还招后端么,会验证价格的那种 :)
|
 |
72
reHuo 2016 年 9 月 27 日
服务器停了
|
 |
73
alamaya 2016 年 9 月 27 日
你这是前端把后端的事儿也做了?
这设计得就有问题 |
 |
74
imbahom 2016 年 9 月 27 日  1
不需要验证, 1 分钱下单的人是要被开除的!
|
 |
75
daysv 2016 年 9 月 27 日
好久没见过这么好笑的笑话了
|
 |
76
rphoho 2016 年 9 月 27 日
拦到数据改完再提交吗,比如 burpsuite 之类的。
|
 |
77
fwings260 2016 年 9 月 27 日
我又想起了之前做输入框
公司几个人嚷嚷着让我在前端验证的事情了。。。 |
 |
78
VYSE 2016 年 9 月 27 日
楼主,万一信息暴露到某吧,你们的人工审核就不干了
|
|
80
4641585 2016 年 9 月 27 日 via iPad
你补充的那些东西…后端都不保存信息吗…这后端有毛用…
|
 |
82
alouha 2016 年 9 月 27 日
哈哈,服务器不校验,还不知道校验啥……
|
 |
83
sampeng 2016 年 9 月 27 日
CTO 的锅,没有脑子的 CTO 才会同意价格在客户端算
|
 |
84
mazyi PRO 我只求一个 APP 的名字哈哈哈
|
 |
85
winglight2016 2016 年 9 月 27 日
function+sp ,哈哈,十几年没见过这种后台实现方式了,好怀念啊~~~~
|
 |
86
cpp255 2016 年 9 月 27 日
客户端做订单价格计算,心真大。
|
 |
87
watzds 2016 年 9 月 27 日 via Android
大 bug
|
 |
88
BuilderQiu 2016 年 9 月 27 日
|
 |
89
yghack 2016 年 9 月 27 日
二次打包就更严重了
这么奇葩,在客户端算价格 厉害 |
 |
90
zylll520 2016 年 9 月 27 日
想起来上次有个客户端生成订单号的...
|
 |
91
wobuhuicode 2016 年 9 月 27 日
赶紧去写个 JS 小脚本来抢个月饼~哦不,应该是抢个单
|
|
92
likai 2016 年 9 月 27 日
看到补充.更加觉得不可思议,
前端知道优惠卷,积分.后端居然不知道. 这优惠卷积分哪来的?自己脑补的么 |
 |
94
xrlin 2016 年 9 月 27 日
这。。。需求文档估计也有问题,服务端居然不知道价格和优惠信息
|
 |
95
WhyAreYouSoSad 2016 年 9 月 27 日
虽然是后端建议前端这样做的,但感觉这样的事应该是码农都改知道的啊
|
 |
96
fuxkcsdn 2016 年 9 月 27 日
这还需要二次打包??
偷懒的方法,安装个 fiddler 就搞定了 |
 |
97
linKnowEasy 2016 年 9 月 27 日
明显后端需要校验的啊。。
不然抓个包, 模拟一下 post 。。。你们公司估计要破产 |
 |
99
FreeDog 2016 年 9 月 27 日
果然简历不能随便贴 / 帐号不能太特别。。
|
 |
100
soland 2016 年 9 月 27 日
商品的价格由客户端计算?
心真大!!! |
Select Language