这是一个创建于 3429 天前的主题,其中的信息可能已经有所发展或是发生改变。
一款手游用游戏币去抽卡,抽一次得到数据然后用工具不断并发的重复提交,你会只扣一次游戏币但是会得到很多卡牌。
我对这个非常好奇,到底是什么原因呢?我用http抓包看了提交的地址是php的。那如果解决会有什么样的解决办法?
我个人猜想这是数据库的问题,对游戏币的update操作被堵塞了。
 |
1
jones 2015-07-03 07:24:36 +08:00 via Android
扣币和得卡没有在一个事务上下文
|
 |
2
Laforet 2015-07-03 07:24:41 +08:00
也可能根本就没有验证,开环系统
|
 |
3
imlonghao 2015-07-03 07:27:57 +08:00 via Android
|
 |
4
reeco 2015-07-03 08:11:26 +08:00 via iPhone
想起了很早以前sp游戏发短信也是这样的,而且到达一定次数之后道具就不再扣费了
|
 |
5
zhicheng 2015-07-03 08:13:05 +08:00 via Android
锁表
|
 |
6
acros 2015-07-03 08:27:04 +08:00 via iPhone
好多收费sdk做得是奇烂无比的,不知道从哪里开始吐槽好
|
 |
7
popu111 2015-07-03 08:27:09 +08:00
何工具?(关注的点似乎有点歪啊)
|
 |
8
mengzhuo 2015-07-03 08:36:04 +08:00
哎~
我司要是做这种接口,绝对先扣东西了再加卡~ |
 |
9
beneo 2015-07-03 08:36:30 +08:00
提交form的时候,没有加上CSRF Token呗
|
 |
10
lianyue 2015-07-03 08:45:34 +08:00 via iPhone
重放攻击 而已很常见 嗯 购买先生成 订单号就好了 然后 购买成功了 更新订单号 就好了 if ( update success=true ) == 1 就能防止了
|
 |
11
future0906 2015-07-03 09:26:04 +08:00
初级错误,尤其是大部分倾向单机的手游,服务端只是随便搞;另外,通过短信走SP通道扣费的,丢单率都相当高
|
 |
13
realpg 2015-07-03 12:02:01 +08:00
就跟提交后只要你不刷新验证码URL,验证码不失效一个性质……
就是逻辑做的严密性太差…… |
 |
15
xifangczy OP 我记得淘宝双11时候也有出现过商品超卖的情况.. 购买的数量超过了设置的库存。
|
 |
17
goodluckyang 2015-07-03 17:44:54 +08:00
没做去重校验吧。。
|
 |
18
akira 2015-07-03 21:30:27 +08:00
服务器逻辑没写严密。
早期的端游才是各种奇葩bug都有啊。。 |
Select Language