最近几天,发现平台上出现一个大R用户,在3天内通过IOS手机客户端充值3W+RMB。一开始大家都比较兴奋,但是后来在后台订单系统发现了存在着多笔重复的订单号。首先是怀疑出现了客户端重复提交的问题,导致有些充值记录是无效的。而在解决了这个问题之后,又在昨天发现多笔充值记录的时间有问题,在1秒内向苹果验证了10条交易收据,并且在苹果提供的6-4账单里并没有找到该大R的扣费记录。
于是,去查询我们记录的苹果接口https://buy.itunes.apple.com/verifyReceipt返回的验证结果,终于发现问题。如下图
产品ID和交易时间都不正确。。再到网上搜寻相关资料,确定为ipa破解攻击。
基本流程如下:
1.用户通过非法手段/插件,拦截了IOS客户端向苹果发起的交易请求,并返回一笔2012年的订单交易收据给客户端
2.客户端将这笔订单交易收据当做当前交易的收据发送给服务器,服务器交由苹果验证,得到验证通过的结论,最后通知客户端充值成功并为用户增加金币
3.貌似只有破解版的客户端才可以这么做
解决方案,当然是在服务器端交由苹果验证通过后对验证结果增加层层判断。不过,苹果提供的这个验证接口看来就是个历史订单查询器,这点倒是之前一直没有想到过的。