V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
winglight2016
V2EX  ›  程序员

没想到大厂也能这样:百度外卖系统让用户能反向充值

  •  
  •   winglight2016 · 2018-01-31 11:22:24 +08:00 · 2628 次点击
    这是一个创建于 2495 天前的主题,其中的信息可能已经有所发展或是发生改变。

    官媒报道了一则与百度外卖系统相关的案件:2017 年 10 月,北京小度科技有限公司报案,称其旗下的 “百度外卖” 平台被他人以非法手段篡改系统,将提现金额改为负数,从而实现反向充值自己账户余额,并使用账户余额在 “百度外卖” 平台上进行消费,总共被篡改 4900 余万元,下单单数覆盖全国多个地区,人数达百余人,直接消费损失 30 余万元...海淀检方呼吁广大互联网企业要注意防范网络安全漏洞。 来自: https://www.solidot.org/story?sid=55394

    ————以前我只试过一个小厂的 app 可以很容易绕过充值收费,万万没想到大厂也能干出这种事儿~~~

    5 条回复    2018-02-02 10:28:13 +08:00
    Miy4mori
        1
    Miy4mori  
       2018-01-31 12:36:11 +08:00
    这个接口可以说是很厉害了,不做校验的后果。
    winglight2016
        2
    winglight2016  
    OP
       2018-01-31 12:40:36 +08:00
    @Miy4mori 正常支付接口是不会支持负数的,这肯定是程序员接入支付时的 bug,或者故意的也难说——但是居然能验收上线,这就很神奇了
    forestyuan
        3
    forestyuan  
       2018-01-31 13:59:19 +08:00
    跟钱有关都不好好测试?那其他的就可想而知了
    lancerly
        4
    lancerly  
       2018-02-01 11:43:02 +08:00
    可想而知 BAT 三个里面这个 B 跟其他两个比起来,真的是幼儿园都不如
    lslqtz
        5
    lslqtz  
       2018-02-02 10:28:13 +08:00
    余额能设成负数值。。
    我是真的服
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2631 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:56 · PVG 18:56 · LAX 02:56 · JFK 05:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.