答题抽奖活动发零钱被薅的真实案例分析

~

有山东地震局举办的防灾减灾宣传周答题活动已于昨天落下帷幕，整个活动6天时间，累计用户33万人，答题人次51万，活动期间第二天由于设计上的缺陷出现过2个小时的异常，整体还是很顺利的

整个活动六天未出现因个人逻辑导致的问题，也未更新新的版本

图片占位

今天分析的重点是答题抽奖发红包过程中，红包差点被薅的一个细节

大家看下图

通过上图大家看的很清晰了，该用户分别试探了三次提现发起请求，金额分别为100、20、10

也就是说用户在反复试探我们单日设置的金额大小

而我们根据该用户的openid，排查到用户仅仅中了一个3毛钱的小红包

虽然最后用户没有薅成功，但是这足以提醒我，目前发放红包鉴权机制是不安全的，很容易被人盗刷掉里面的资金

今天重新设计了下这个红包发放的校验规则

其实这个生成签名方案已经很成熟了，应用在三方接口的鉴权上

图片占位