使用fiddler继续刚某联网手游

rozener

昨天用MT管理器失败之后，我认为是支付有另外的验证？故今天用fiddler来抓包修改试试，先说最终结果，还是失败......
该游戏有支付宝、微信、电话卡等多种支付方式，我上的是电话卡，

设置断点前

之后点击付款，并利用手速将false改为true

但是之后手机界面好像有第二次验证？跳出如图

看了下文本，我认为问题出在status上，该值为0001，我把它改为0000后跳出，并显示充值成功，但是货币并没有增加，如果把status改为其他数值，则不会跳出，继续显示“正在查询支付结果”，到此我就没法子了，求求大佬指点迷津？

qw905234

小白路过

chaopi

充值常见做法，应该由后台接收在线支付方的feedback请求来完成充值的。

rozener

chaopi 发表于 2020-2-25 21:07
充值常见做法，应该由后台接收在线支付方的feedback请求来完成充值的。

大佬你好，能具体说说吗？

chaopi

rozener 发表于 2020-2-25 21:14
大佬你好，能具体说说吗？

我不是大佬。。。常规的安全做法是，你完成在线支付了，产品前端仅仅是收到一个支付成功的反馈，你目前在修改的就是这个反馈，但产品的数据库记录你充值进去的数值，通常并不是前端收到反馈就给你充值，而是产品后端跟支付服务方会约定一个异步回调的地址，支付成功后，支付服务方会调用产品后端的这个回调地址通知产品xx支付订单已经成功支付，产品后台再根据这个订单号找到你的账号，才给你充值进去，这个异步回调地址是不会暴露在前端的，甚至可能设置为只有来自支付服务方的ip才能允许访问，这样才安全。

当然，这是常用的安全做法，你正在研究的页游会不会因为没这方面经验而使用了不安全的方式，我就不知道咯。

zx2000

楼上简单说就是 你改的只是显示，真正的数据存储在数据库里

沧恋

可能充值成功后不是直接调用本地指令给你增加货币，而是服务端那边给你返回货币值或者是给你返回充值无效，又或者充值成功后给你返回个刷新货币指令。

rozener

chaopi 发表于 2020-2-25 21:28
我不是大佬。。。常规的安全做法是，你完成在线支付了，产品前端仅仅是收到一个支付成功的反馈，你目前在 ...

感谢解答！