1
x86 256 天前
是真的,不过回调都没验证的吗
|
2
NESeeker 256 天前 via Android
我说咋支付不了了
|
3
xxbing 256 天前
看了全文,我觉得如果存在大范围的伪造支付订单,触发订单成功回调. 并没有什么 SQL 注入漏洞,因为每家每户的对调地址都不一样,而且有些人的支付密钥是硬编码在程序里,SQL 注个毛啊..
最大可能性是支付商数据库泄露了. 所有的回调地址和密钥都被人拖了. |
4
bubble21 256 天前
见文末 [初步估计今晚“0 元购”金额高达数百万,此频道机器人害人不浅,据传闻说是源支付最早作者,然后发生某些不愉快,利用以前留下的后门做成 Tg 机器人(此信息为传言,但目前可靠程度应该是最高了)]
|
5
unclemcz 256 天前 via Android
按理说商家端应该先判断 ip 白名单,再验签。
|