答题抽奖活动发零钱被薅的真实案例分析
~
有山东地震局举办的防灾减灾宣传周答题活动已于昨天落下帷幕,整个活动6天时间,累计用户33万人,答题人次51万,活动期间第二天由于设计上的缺陷出现过2个小时的异常,整体还是很顺利的
整个活动六天未出现因个人逻辑导致的问题,也未更新新的版本
图片占位
今天分析的重点是答题抽奖发红包过程中,红包差点被薅的一个细节
大家看下图
通过上图大家看的很清晰了,该用户分别试探了三次提现发起请求,金额分别为100、20、10
也就是说用户在反复试探我们单日设置的金额大小
而我们根据该用户的openid,排查到用户仅仅中了一个3毛钱的小红包
虽然最后用户没有薅成功,但是这足以提醒我,目前发放红包鉴权机制是不安全的,很容易被人盗刷掉里面的资金
今天重新设计了下这个红包发放的校验规则
其实这个生成签名方案已经很成熟了,应用在三方接口的鉴权上
图片占位