接到公司运营告知,有一伙犯罪团伙利用“淘任务”之类app以刷单为由诈骗智商比较低的用户。用户支付的钱全部打入到我司支付宝上。说明这个app拦截了我们app的支付宝签名。但是我们自己的支付宝签名通过加密的。很好奇他们是怎么做到的。打击犯罪,人人有责。
这个跟签名没关系,只是抓包抓到了你的请求支付接口,使用这个接口返回的参数进行支付。。。。要说如何防范,这个就跟防爬虫一个道理。添加接口的访问限制,一般是已登录状态下才会进行支付的,可以添加登录状态判断,要已登录才能访问该接口。。每个用户每次访问该接口记录到缓存里面,限定一下每分钟或每10秒可以访问多少次。。超过该次数的就说明这个账号在搞鬼了,可以记录下日志或者把这个账号封了
2.1m questions
2.1m answers
60 comments
56.9k users