答题抽奖活动发零钱被薅的真实案例分析
发布于 2 年前 作者 na16 3060 次浏览 来自 分享

答题抽奖活动发零钱被薅的真实案例分析

~

有山东地震局举办的防灾减灾宣传周答题活动已于昨天落下帷幕,整个活动6天时间,累计用户33万人,答题人次51万,活动期间第二天由于设计上的缺陷出现过2个小时的异常,整体还是很顺利的

整个活动六天未出现因个人逻辑导致的问题,也未更新新的版本

图片占位

今天分析的重点是答题抽奖发红包过程中,红包差点被薅的一个细节

大家看下图

通过上图大家看的很清晰了,该用户分别试探了三次提现发起请求,金额分别为100、20、10

也就是说用户在反复试探我们单日设置的金额大小

而我们根据该用户的openid,排查到用户仅仅中了一个3毛钱的小红包

虽然最后用户没有薅成功,但是这足以提醒我,目前发放红包鉴权机制是不安全的,很容易被人盗刷掉里面的资金

今天重新设计了下这个红包发放的校验规则

其实这个生成签名方案已经很成熟了,应用在三方接口的鉴权上

图片占位

回到顶部