V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  LLaMA  ›  全部回复第 1 页 / 共 6 页
回复总数  113
1  2  3  4  5  6  
@DeutschXP 老板说损失挺大的让想办法解决
@xieren58 外贸独立站大一点的被人搞概率很大
时区也验了
@westoy @dearmymy 我们用的是 stripe checkout ,拿不到卡号信息,邮箱他们用的也是正常的 gmail
@liuidetmks 付款了再退款啊,同行都承诺多少天不满意全退款,我们肯定也要允许退款
@iOCZ 大量下单然后恶意退款之类的,又不能禁止退款他们会投诉
@westoy 接入了,但他们的家宽代理能过验证
要 Google 爬虫自家的 angular 框架很多都渲染不出来
@Esec 需要用它下载百度网盘的资源,内网传回来,没办法不开 WiFi
@wenwen226400 主要是刷第三方必须解锁,解锁后系统盘就没加密了,要是手机被别人捡到就可以随意偷数据了,怕的是这个
2023-05-06 00:59:31 +08:00
回复了 LLaMA 创建的主题 程序员 固态价格这么便宜了,云厂商硬盘和 S3 桶为什么还不降价?
@optional
@cskeleton 非互联网企业,就公司的几个外贸商城站,感觉月销 2000 美元已经挺高了,买的系统代码太烂了 CPU 常年高占用
@HE1HE 两万价位的 win 本都看了,上班看片还是 mac 的屏幕爽
2023-05-05 20:14:38 +08:00
回复了 LLaMA 创建的主题 程序员 固态价格这么便宜了,云厂商硬盘和 S3 桶为什么还不降价?
@littlewing 人工占比这么大,为什么大厂每次出问题都要十个小时左右才有工程师帮忙排查?(公司账号,每月消费超过 2000 美元)传统独服都没这么慢,硬件坏了给机房打个电话 15 分钟就能换好测试好(外贸公司,云和独服都是指国外的)这人工费都拿去干什么了
@Anivial 支.付宝私钥商家根本接触不到,验签用的是支.付宝官方提供的示例代码
@azui999 v 站注册 180 天才能发这个词
@lopssh 如果用户取消也会有回调 我也怀疑是用类似这种的方法,一直无法复现成功
@haha512 改 return_url 需要商户私钥签名,假设商户私钥泄露了,如果攻击者不支.付,支.付宝也不会给攻击者签名 return 的数据,如果攻击者换成自己的收款账号那 appid sellerid 之类验证都过不了了
@Crawping 确认了
@jenlors
@kcnine
@sujin190 ???看的我都怀疑我了,你们真的有接过支.付宝吗?签名用的是支.付宝私钥,商家根本没有获得支.付宝私钥的权限,这怎么泄露?如果是代码里用于验签的支.付宝公钥被偷改了那正常的支付请求我们就收不到了,所以应该不存在这种可能
@moult 不验证 notifyId ,只验证订单状态是否是已付款会有什么风险吗
@benrezzagmehamed #3 伪造的同步通知请求验签可通过,查不到任何资料这怎么伪造
补充:一个外包的商城系统有 30 多笔款项对不上,检查日志后发现同步通知接口被多次伪造 method=alipay.trade.wap.pay.return 的请求,研究了 3 天也没找到这是怎么做到的,只能加主动查单了,异步接口在研究有没有必要加
1  2  3  4  5  6  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3998 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 19ms · UTC 04:12 · PVG 12:12 · LAX 20:12 · JFK 23:12
Developed with CodeLauncher
♥ Do have faith in what you're doing.