V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  Rache1  ›  全部回复第 49 页 / 共 100 页
回复总数  1983
1 ... 45  46  47  48  49  50  51  52  53  54 ... 100  
@sillydaddy

> 支付宝完全可以针对每一个交易号,再产生一个对应的确认收货号

你说的这个方法也是算是一种解决办法,实际实施起来相较于现有的有些过于复杂了。其他人提到的,给 JSBridge 添加鉴权这种方案比较简单且可行的。
@sillydaddy

> 如果这个交易号暴露给了卖家,那么卖家也可以作为发起人了

这是不可能的,已经有人做过验证了,如果是其他人的交易号,在你点击的时候( AlipayJSBridge.call 后)就会弹窗提示(当前支付宝登录的账号和这个交易号对应的账号)不是同一用户,无法继续进行,说明支付宝是有验证的。

> 如果这个号是闲鱼在创建订单的时候生成的,那么这个号是否有必要暴露给买家和卖家呢?

闲鱼创建的编号是他自己商户平台订单号,支付宝会在创建订单时再生成一个交易号,这个交易号和商户订单号时相对应的(这两个编号在支付宝账单详情是可以看到的),闲鱼在他的平台上的用户订单中可以只展示 [商户订单号(买家 /卖家同时看到)] ,实际上闲鱼也是这样做的。

而这里的交易号是卖家在通过自己的支付宝账单来查找到的,这个交易号我前面就说过了,他的应用场景还有如:对账,退款等。


支付宝的场景是一个支付平台,而不是特定于某个平台去服务,他同时提供商户订单号和交易号这都是合理的。


在这里支付宝的问题是只关注了 [调起确认收货] ,而却没有验证是谁(来源)调起的。

---

我后面说的给订单加个状态来判断,这种实际上也是不合理的,因为还要考虑自动收货。
@sillydaddy 据说阿里的平台下的担保交易是支付宝承担的,大致流程应该就是 确认收货的时候实际上是调用的支付宝的接口,支付宝验证完密码后,再异步回调给闲鱼告诉闲鱼这个交易号下的订单已经确认收货。

这里的交易号不是闲鱼的订单号,而是支付宝平台的交易号,网站在调用支付宝创建订单时,需要把网站的订单编号传递过去,也就是你的每笔订单至少都有两个跟这个交易有关的编号,你打开你的支付宝账单,点开就都能看到的。

这里骗子网站就是使用的支付宝的交易号。交易号还可以用在退款,对账等等。


你说的理想情况就是,用户在闲鱼 App 里面点击确认收货按钮后,把订单设置一个状态,比如确认收货中,然后再调用支付宝的确认收货接口,当收到支付宝的确认收货异步回调后,如果判断到订单的状态不是在确认收货中(就是这个漏洞的情况),那就忽略这个异步回调,但是也可能会存在一些问题。
一两个月以前就看到这个问题了,然后这两天还看到有人因为这个中招,某些大厂还是有些水平。

阿里家还有去年三无公社还爆出来一个天猫的利用自定义优惠券虚假详情页可以直接下单欺骗消费者的问题,而天猫那边却也还没解决。

我其他的视频你可以不看,但这视频你得把他看完_哔哩哔哩_bilibili
https://www.bilibili.com/video/BV1514y1w74b/

120 万人看过的电商平台漏洞,貌似堵不上了...._哔哩哔哩_bilibili
https://www.bilibili.com/video/BV1oV4y1D7ng/
2023-05-05 16:47:58 +08:00
回复了 wayne3602 创建的主题 问与答 scoop 安装哪些软件合适?
@wayne3602 部分软件的软件内更新,就可能会有这个问题。使用 scoop update 没问题。
2023-05-05 15:35:43 +08:00
回复了 wayne3602 创建的主题 问与答 scoop 安装哪些软件合适?
1 、不含应用内更新的
2 、官方有提供便携版的
3 、个人不喜欢更新的

---

目前遇到个别软件的应用内更新,给更新了个安装版,然后就有了两个 App 了。

🤦‍♂️

还有之前用 Scoop 装过 Postman ,有新版本发布时,就有大概率闪退,无法启动。官方的安装版就没问题。

如果你不喜欢更新应用,那就没影响。

其次还有一些 shell 工具类,比如:busybox 、ffmpeg 、jdk 、aria2
2023-05-05 13:32:31 +08:00
回复了 CNN 创建的主题 程序员 🙏🏻 拜托各位发帖如果使用 imgur,在链接后面加上图片格式
我用的 ShareX ,上传图片后会自动复制链接,就用的那个
微信大舞台,有号你就来,哈哈哈 🤣
2023-05-03 16:22:19 +08:00
回复了 kongkongye 创建的主题 问与答 有没这样一款产品:中文优质博客📝 x 抖音的推荐机制🎯
前者就”几乎“没有
2023-05-03 09:45:22 +08:00
回复了 pengdirect 创建的主题 问与答 抖音号被封,如何有效投诉抖音?
营销号?🚫
2023-05-03 09:40:49 +08:00
回复了 Tearia 创建的主题 问与答 Windows11 远程桌面的这个用户名和密码到底是什么
还有一种情况,如果你同时设置了 PIN 码和 Windows 密码并且你只使用过 PIN 码登录,未使用过 Windows 密码,那你必须要先使用一次 Windows 密码解锁,这个密码才能用于远程连接,当你修改过 Windows 密码后也是一样。
目前用的这个脚本,还挺不错。跟 2 楼说的差不多

HTML5 视频播放器增强脚本
https://greasyfork.org/zh-CN/scripts/381682-html5%E8%A7%86%E9%A2%91%E6%92%AD%E6%94%BE%E5%99%A8%E5%A2%9E%E5%BC%BA%E8%84%9A%E6%9C%AC
2023-05-02 09:11:03 +08:00
回复了 yjim 创建的主题 问与答 什么值得买凉透了么
@hackpro 🤦‍♂️ 我的意思是说,现在什么值得买上面,基本上都是返利高的玩意儿,真优惠的很少了。
2023-05-01 15:09:11 +08:00
回复了 yjim 创建的主题 问与答 什么值得买凉透了么
什么值得买 -> 什么返利高
2023-04-30 23:46:28 +08:00
回复了 make1money 创建的主题 问与答 小疑问,“V2EX”怎么读?
微兔异叉 🤔
2023-04-28 17:53:27 +08:00
回复了 96 创建的主题 问与答 怎么样可以在搜索时自动添加关键字屏蔽
我目前是用的 uBlacklist ,然后把搜索引擎的每页显示数量调大
2023-04-28 09:33:46 +08:00
回复了 t202201 创建的主题 Java idea 中有没有快捷键支持按单词移动光标?
File | Settings | Editor | General | Smart Keys > Use "Came Humps" words 改了只后就全都是这样了。

或者给这俩加上快捷键绑定。

https://i.imgur.com/uxMafQ5.png
2023-04-27 16:27:58 +08:00
回复了 milzero 创建的主题 问与答 为什么没有 FFmpeg Cookbook 一类的书或者文档出现呢!
😏 现在可以直接问 ChatGPT 了吧
2023-04-27 09:38:09 +08:00
回复了 buxudashi 创建的主题 PHP PHP 有没简单办法取到实参的名称?
@Rache1 这个很简陋,实际上最好还要根据 debug_backtrace 提供的行号、位置信息与 php-parser 解析出来的行号位置进行比较一下,按照例子里面的,如果同一个函数在一个文件里面调用了多次,就只有第一次会被获取到了。而且这个只是简单的对函数调用进行了处理,对于方法调用没有处理。

这里仅仅是提供一个思路
1 ... 45  46  47  48  49  50  51  52  53  54 ... 100  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4670 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 57ms · UTC 05:37 · PVG 13:37 · LAX 21:37 · JFK 00:37
Developed with CodeLauncher
♥ Do have faith in what you're doing.