收藏
回答

发现微信jsapi支付重大bug 不需要APIV3秘钥正确就可以下单 卖家可以此不断刷钱!!!

新程序上线时,测试测出的问题,重现方法如下:

1、先正确配置商户号、商户APIv3密钥、商户证书序列号、商户私钥证书、appId,然后采用GOSDK发起支付,SDK:https://pay.weixin.qq.com/doc/v3/merchant/4012076515
2、删除或乱设置商户APIv3密钥,保存。
3、再次发起支付,依然可以成功唤起JSAPI支付。
4、买家付款,可以付款。
5、回调失败。
6、卖家可以以此不断刷钱,让买家付款到自己账户,然后不断刷钱,不用发货。
影响极大,请迅速修复
回答关注问题邀请回答
收藏

3 个回答

  • Memory
    Memory
    11-16

    这个和微信没关系,这是属于你自己系统存在bug,V3密钥是用于解密微信支付回调通知信息的,你不配置是不会收到微信支付回调,配置错误的会导致你系统解密失败,你自己系统把这类视为失败进而出现用户重复支付,正常应做查单作为异步通知的补充

    11-16
    有用 1
    回复
  • 㐅卝
    㐅卝
    发表于小程序端
    11-16

    你不设置v3密钥都不会下发通知。

    11-16
    有用
    回复
  • sun
    sun
    11-16

    标题党,还刷钱,卖家还能帮买家自动支付吗?用户又不傻,你生成一个订单他就支付一个订单,人家凭什么支付这个订单?

    11-16
    有用
    回复
登录 后发表内容