收藏
回答

send-coupon组件的out_request_no参数规则问题

框架类型 问题类型 API/组件名称 终端类型 微信版本 基础库版本
小程序 Bug send-coupon 微信安卓客户端 8.0.47 3.4.7

send-coupon组件的out_request_no参数规则有漏洞吧,这个参数是要求每个劵批次id下每个用户只能领取一次,也就是说同一个out_request_no只要不同的账户也是可以直接使用并生成相同的sign的(亲自尝试验证过),这个插件发劵时调的接口中能看到sign的,假如把这个sign保存下来,别人就可以通过脚本生成多个虚拟的微信号然后都使用这个sign进行领劵操作了,这样会有恶意刷劵的情况(尽管刷出来的劵可能在虚拟账号上不能用,但是会给发劵方造成很大影响)

最后一次编辑于  06-29
回答关注问题邀请回答
收藏
登录 后发表内容