很多东西自己测一切正常,符合自己的设想, 一放到线上就各种问题, 譬如前几天就遭遇了一个非常严重的情况,攻击者利用并发绕开了余额判断,实现刷入一笔刷出多笔(一个套现App,刷信用卡提现到储蓄卡)。正常来说, 刷一笔, 然后去申请结算, 当然就只结算申请的金额, 可如果10笔申请结算的动作在一秒内完成就会变成刷入一笔最多刷出10笔, 因为第一笔结算申请系统还在处理中并没有改变交易状态第二笔乃至更多笔就来了, 这些后来的全部处于第一笔操作未完成交易状态未改变的情况。就这么个小漏洞, 足以摧毁你的系统, 乃至老板跑路, 只要多付出去的钱足够多
网友评论