公司的商城 App 被人一分钱下单，不知道他是怎么办到的

感觉是被修改二次打包了

reus

2016-09-27 13:42:23 +08:00

@Ouyangan 难道攻击者不会自己签名？客户端来的数据没有什么篡改不篡改的，不信任就行了。

w99wen

2016-09-27 13:45:00 +08:00

@reus 加盐为了不容易被暴力破解出 MD5 的原始信息。
md5 得到的 sign 值是给服务端验证的。
服务器验证是肯定要有的。

shiny

2016-09-27 13:45:23 +08:00

@viator42 这后端就敢相信客户端传来的一切了？安全常识匮乏。「不要相信来自用户的任何输入」

yangtukun1412

2016-09-27 13:50:13 +08:00

@w99wen
要么你需要把 salt 和请求一起发给服务器, 要么硬编码在客户端. 两种方法都是可以比较方便地篡改的. 客户端签名最多只能当做数据完整性校验.

mogita

2016-09-27 13:52:11 +08:00

前端带价格哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈这事竟然真能发生。

9hills

2016-09-27 13:52:24 +08:00

客户端不管是签名也好，加密也罢，都没有什么卵用。

imn1

2016-09-27 13:52:40 +08:00

既然后端这样说，就让他背锅吧

kideny

2016-09-27 13:53:17 +08:00

有些公司为了省人力成本，让前端来写后台。极度讨厌那些压榨剩余劳动力的公司，技术就应该专业化。

akira

2016-09-27 13:54:48 +08:00

不需要二次打包，抓取到你提交的数据直接修改就可以了。这样的后端需要调教调教啊。。

Penton

2016-09-27 13:56:02 +08:00

APP ： U 购
公司：济南靓萌服饰有限公司

别问我怎么知道的

akring

2016-09-27 13:58:26 +08:00

付款后服务器要检查订单金额和实际支付金额（微信，支付宝都有回调）的吧，安卓不说了， iOS 越狱设备改个参数分分钟的事情，毫无压力

Felldeadbird

2016-09-27 13:58:59 +08:00

@Penton 一大波 1 分钱订单正在路上。。。后端和 APP 估计等着被炒了。祈祷。。

iamzhuyi

2016-09-27 13:59:27 +08:00

@Penton fd 大法好哈哈哈哈哈哈

deepjia

2016-09-27 14:00:26 +08:00

真的应该开了……服务端验证是非编码人员都必须知道的最起码的常识啊

BMW

2016-09-27 14:00:50 +08:00

客户端计算价格。。。。。。。。。。。。。。。。。一万个问号 ❓

FrankZhu

2016-09-27 14:01:54 +08:00

@Penton 确定不是来推广一波 233333

viator42

2016-09-27 14:05:05 +08:00

@Penton 大概知道你是怎么知道的了

pubby

2016-09-27 14:05:05 +08:00

@Felldeadbird 来吧，让那后端感受一下服务器压力

tscat

2016-09-27 14:06:20 +08:00

优惠券。。。服务器也有优惠券的数据啊

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/309265

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.