最近幾天,發現平台上出現乙個大r使用者,在3天內通過ios手機客戶端充值3w+rmb。一開始大家都比較興奮,但是後來在後台訂單系統發現了存在著多筆重複的訂單號。首先是懷疑出現了客戶端重複提交的問題,導致有些充值記錄是無效的。而在解決了這個問題之後,又在昨天發現多筆充值記錄的時間有問題,在1秒內向蘋果驗證了10條交易收據,並且在蘋果提供的6-4賬單裡並沒有找到該大r的扣費記錄。
返回的驗證結果,終於發現問題。如下圖
產品id和交易時間都不正確。。再到網上搜尋相關資料,確定為ipa破解攻擊。
基本流程如下:
1.使用者通過非法手段/外掛程式,攔截了ios客戶端向蘋果發起的交易請求,並返回一筆2023年的訂單交易收據給客戶端
2.客戶端將這筆訂單交易收據當做當前交易的收據傳送給伺服器,伺服器交由蘋果驗證,得到驗證通過的結論,最後通知客戶端充值成功並為使用者增加金幣
3.貌似只有破解版的客戶端才可以這麼做
解決方案,當然是在伺服器端交由蘋果驗證通過後對驗證結果增加層層判斷。不過,蘋果提供的這個驗證介面看來就是個歷史訂單查詢器,這點倒是之前一直沒有想到過的。
Visual Parse 的破解經歷
今天down了乙個visual parse 來研究,可沒想到連測試版也需要註冊碼。按照提示發了封索取註冊碼的郵件,半天不見回應,就乾脆自己動手破解。使用ollydbg載入ssvparse.exe檔案,執行一下,還好檔案沒有加殼,一切正常。破解過程最重要的就是找到對註冊碼進行操作的 方法有很多,但不外...
測量工作的小經歷
昨天外業測圖遇到一位老大爺,很客氣。小區裡面碰到好幾次,每次都問我一些,我都有些不厭其煩了,後來測圖測到他樓下了,又見到了。開始說起來,他說這幾天他從窗戶上看到我一直在附近測圖,正好他以前也參加過水利局的測量工作,很熟悉,過來看儀器,問這問那,說現在技術高了真方便。非得問我那樓多高,問了有5次。我說...
記一次破解射頻開關經歷
射頻開關是通過射頻訊號控制電源開關的一種東東,433mhz的開關有效遙控距離約為30公尺,假設乙個場景,一間別墅,樓下的電風扇正插著射頻插座在工作,樓上的老王想關掉樓下的電風扇,可是他又不想跑下樓,如果射頻遙控器在他旁邊,他就可以通過射頻遙控器關掉射頻開關的電源,從而關掉電風扇。通常來說,乙個433...