一位我们的模块用户反应我们的程序有漏洞,被人利用支付 0.1 元来骗取返现红包,根据他提供的截图还真有人支付的是 0.1 元,但是那个活动定价是 19 元的啊,根本就没有 0.1 元这个数字,经过检查发现是自己在做开发的时候偷懒了,价格是通过前端 js 传递的,而后台生成订单的时候又没有进行对比。
所以有人通过某种技术手段拼接了一个请求链接生成了假的订单才造成了 0.1 元的情况,这个问题很容易修复,不仅修复了而且还加固了。
真想会会这个伪造请求的人才!
莫非是遇到高手啦?
6259 views
2020-07-12 13:35:20
一位我们的模块用户反应我们的程序有漏洞,被人利用支付 0.1 元来骗取返现红包,根据他提供的截图还真有人支付的是 0.1 元,但是那个活动定价是 19 元的啊,根本就没有 0.1 元这个数字,经过检查发现是自己在做开发的时候偷懒了,价格是通过前端 js 传递的,而后台生成订单的时候又没有进行对比。
所以有人通过某种技术手段拼接了一个请求链接生成了假的订单才造成了 0.1 元的情况,这个问题很容易修复,不仅修复了而且还加固了。
真想会会这个伪造请求的人才!