收藏
回答

send-coupon组件的out_request_no参数是否有安全风险?

问题类型 插件 AppID 插件版本号 AppID 操作系统 微信版本 基础库版本
Bug wxf3f436ba9bd4be7b 1.4.13 wx57b1381870ffc03f Android 8.0.47 3.4.7

send-coupon组件的out_request_no参数规则有漏洞吧,这个参数是邀请每个劵批次id下每隔用户只能领取一次,也就是说同一个out_request_no只要不同的账户也是可以直接使用并生成相同的sign的(亲自尝试验证过),这个插件发劵时调的接口中能看到sign的,假如把这个sign保存下来,别人就可以通过脚本生成多个虚拟的微信号然后都使用这个sign进行领劵操作了,这样会有恶意刷劵的情况(尽管刷出来的劵可能在虚拟账号上不能用,但是会给发劵方造成很大影响)

回答关注问题邀请回答
收藏

1 个回答

  • 支付社区运营
    支付社区运营
    07-05

    关于这个情况,我们会反馈给相关的同事

    07-05
    有用
    回复
登录 后发表内容