如何防范支付宝签名被盗
接到公司运营告知,有一伙犯罪团伙利用“淘任务”之类app以刷单为由诈骗智商比较低的用户。用户支付的钱全部打入到我司支付宝上。说明这个app拦截了我们app的支付宝签名。但是我们自己的支付宝签名通过加密的。很好奇他们是怎么做到的。
打击犯罪,人人有责。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
这个跟签名没关系,只是抓包抓到了你的请求支付接口,使用这个接口返回的参数进行支付。。。。
要说如何防范,这个就跟防爬虫一个道理。
添加接口的访问限制,一般是已登录状态下才会进行支付的,可以添加登录状态判断,要已登录才能访问该接口。。每个用户每次访问该接口记录到缓存里面,限定一下每分钟或每10秒可以访问多少次。。超过该次数的就说明这个账号在搞鬼了,可以记录下日志或者把这个账号封了
已经接案了。还是说明一下。犯罪人员先给出一个仿支付宝页面的钓鱼app,让受害人输入支付密码,这里犯罪人员已经拿到支付密码。然后再向受害人索取支付验证码。这样他就可以在另一边下单支付。 这属于降维打击