小程序
小游戏
企业微信
微信支付
扫描小程序码分享
send-coupon组件的out_request_no参数规则有漏洞吧,这个参数是邀请每个劵批次id下每隔用户只能领取一次,也就是说同一个out_request_no只要不同的账户也是可以直接使用并生成相同的sign的(亲自尝试验证过),这个插件发劵时调的接口中能看到sign的,假如把这个sign保存下来,别人就可以通过脚本生成多个虚拟的微信号然后都使用这个sign进行领劵操作了,这样会有恶意刷劵的情况(尽管刷出来的劵可能在虚拟账号上不能用,但是会给发劵方造成很大影响)
1 个回答
加粗
标红
插入代码
插入链接
插入图片
上传视频
关于这个情况,我们会反馈给相关的同事
你好,麻烦通过点击下方“反馈信息”按钮,提供出现问题的。
关注后,可在微信内接收相应的重要提醒。
请使用微信扫描二维码关注 “微信开放社区” 公众号
关于这个情况,我们会反馈给相关的同事