google支付接口被刷以及解决方案

最新推荐文章于 2023-04-20 15:54:00 发布
最新推荐文章于 2023-04-20 15:54:00 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 学习笔记 文章标签: 安卓 eclipse

版权属于:Vimer的程序世界

原文地址:http://www.vimer.cn?p=2631

最近在google play上线的应用内支付被人刷了,用户模拟发起了大量的支付请求,并且全部成功支付。搞得我最近茶饭不思。。今天总算是解决了,和大家分享一下。

我们客户端的支付实现步骤是:

1. app端调用google支付

2. 支付成功后,调用 自己服务器的发货接口,当然发货接口是做了签名校验的。

之所以在app端调用发货,是因为google貌似没有提供服务器端直接回调url的地方,所以才给了恶意用户模拟google返回的机会。

 

一开始我以为是我们自己的发货接口密钥被破解了,但是后来经过app上报,发现客户端是真实的走过了所有的google支付流程,即google的支付sdk真的返回了成功。

由于不清楚是因为google的密钥泄漏还是攻击者用别的方法实现,所以客户端这边已经没有办法确认是安全的了。

好在google是提供了查询订单的接口的: http://developer.android.com/google/play/billing/gp-purchase-status-api.html

实现的流程在文档中已经写的很清楚了,我这里就不赘述了。

判断的方法也很简单:

1. 判断是否购买成功

2. 判断返回 developerPayload 是否与传入的值一致。最好传入订单号,以防止重放攻击。

 

实现代码如下:

 

最后感慨一下,以前在腾讯的时候,安全问题有大帮人帮你一起查,所以根本感觉不到什么危险。现在只有自己了,所有的问题都要考虑到,而且一旦处理不好就可能是致命的。


幸运小喵
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
google支付接口以及解决方案 google支付查单
lemonzone2010的专栏
04-10 1万+
google支付接口以及解决方案 google支付查单 20150218,挂机的日本服务器出现google支付单现象,虽然目前进行的修补,但是这个问题并没有完全从根源上解决。并且公司以前的GooglePlay支付也有不完善的地方,在SDK端给支付回调发送支付信息后,支付回调程序没有调用Google API进行订单验证。因此Google支付流程需要进行完善。
google支付demo
01-08
谷歌支付Google Pay)是谷歌推出的一项数字支付服务,它允许用户通过智能手机、电脑或智能手表等设备进行安全、快捷的在线购物和转账。在移动应用内购买(In-App Purchases, IAP)场景中,Google Pay 提供了一种...
Google Widevine DRM 逆向破解原理
上官兮唐
04-04 2116
当用户在播放器播放视频时会通过设备cdm device_client_id_blob与device_private_key创建初始化信息,携带pssh生成验证令牌向代{过}{滤}理服务器请求,代{过}{滤}理服务器将请求发送。Widevine DRM加密视频后会生成视频mpd文件,视频分片、kid与key、并创建许可证代{过}{滤}理服务器,mpd文件是XML格式,内包含视频信息以及请求时所需要的PSSH!本人业余爱好,文章写的不够完善望大佬指导,轻喷哦,我会努力学习~大家有疑问可以评论区留言,我会看的~
谷歌支付接入流程(一次性支付,连续订阅)
最新发布
jiayuanwai的博客
04-20 4978
谷歌支付接入流程
安卓接入Google支付
u012080441的专栏
08-30 4909
确保安装版本与后台的版本一致,包含AppVersion,bundleVersion,签名。确保支付的账号在测试人员列表中。对于每个产品,您需要提供唯一的产品 ID、标题、描述和定价信息。后台的商品分为一次性消耗和订阅2中类型。后台创建商品的话需要先在后台上传一个带有支付功能的草稿包,确保包名、签名、支付库就可构建APK上传。注册需要准备Gmail邮箱、手机号、Visa卡(谷歌开发者账号注册需要支付25美元)。设置开发者帐户后,必须发布包含 Google Play 结算库的应用版本。无法购买您要买的商品"..
安卓集成Google Play支付(谷歌支付)最新版本
Jason_HD的博客
09-21 6686
安卓集成Google Play支付最新版本
接入谷歌支付4.0(Kotlin)
qq_37685768的博客
10-25 1886
前言 很多游戏研发同学可能都需要顺带接入谷歌支付,谷歌的文档大家都懂得,有时候感觉看下来好像抓住了什么却又什么都没有抓住,导致接入工作有时候会陷入瓶颈。我整理了下谷歌支付接口,并添加了一些解释性文本及扩展代码,希望能对你有所帮助。最后贴上谷歌支付的官网地址 准备工作 谷歌后台项目传入白包,需要麻烦运营同学后台配置好商品,白包可以什么功能都没有,但一定要谷歌支付SDK,因为谷歌需要你的包里有支付相关的权限。4.0开始不用单独在manifest申明,直接依赖谷歌支付包,依赖方法: dependencies {
互联网开放平台解决方案.pptx
10-11
它不仅提供基础设施即服务(IaaS),如虚拟主机和存储,还提供平台即服务(PaaS),如应用托管和部署环境,以及能力开放服务,包括定位、短信、拨号和支付等电信基础能力的接口。 开放平台的兴起促使了传统企业和...
Comersus_e.zip_ecommerce_谷歌支付
09-24
标题“Comersus_e.zip_ecommerce_谷歌支付”指的是一个名为Comersus的电子商务解决方案,该解决方案已打包成一个.zip文件,支持谷歌支付功能。这个压缩包包含了构建一个功能完善的在线商店所需的各种组件,旨在提供...
关注HCE安全挑战及解决方案.pdf
07-10
《关注HCE安全挑战及解决方案》一文着重探讨了移动支付领域中HCE技术的安全问题及其应对策略。...因此,金融机构和技术提供商需要不断创新和完善安全解决方案,以保障用户的资金安全,推动移动支付产业的健康发展。
google play 支付接口封装
12-11
支付接口已经独立封装,只需要在自己的Activity 调用相关接口 1,在onCreate调用GooglePlayPurchase.instance().initGoogleData(this); 2,在onActivityResult调用GooglePlayPurchase.instance().onActivityResult(requestCode, resultCode, data); 3,在onDestroy调用GooglePlayPurchase.instance().onDestroy(); 4,购买指定商品只需要调用:GooglePlayPurchase.instance().buy(pid);//pid 就是后台对应的productID 别忘了修改成自己的配置,主要有两个地方 1,payload替换成自己的packageName, 2,base64EncodedPublicKey换成自己后台的的PublicKey. 省去你不少工作,资源收2分不多,欢迎大家交流
Google play billing(Google play 内支付) 代码封装 api V1.1.3
12-19
使用了google新版的内购API,com.android.billingclient:billing:1.0,使用方法更加简单了。 使用该封装,只需要简单的一步就能初始化,里面的接口功能齐全,具备完整的成功、失败、错误回调。里面包含详细教程,有些坑可以看我博客。 http://blog.csdn.net/u013640004/article/details/78257536 更新日志: *V1.1.3 2017/12.19 *修复-服务启动失败时导致的空指针错误。 * * V1.1.2 2017/12/18 * 修复-修复内购未被消耗的BUG。 * 增加-每次启动都获取一次历史内购订单,并且全部消耗。 * 增加-可以通过设置isAutoConsumeAsync来确定内购是否每次自动消耗。 * 增加-将consumeAsync改为public,你可以手动调用消耗。 * * V1.1.1 2017/11/2 * 升级-内购API版本为google最新版本。compile 'com.android.billingclient:billing:1.0' * 特性-不需要key了,不需要IInAppBillingService.aidl了,不需要那一大堆Utils了,创建新实例的时候必须要传入购买回调接口
关注HCE安全挑战及解决方案.docx
07-10
《关注HCE安全挑战及解决方案》 HCE(Host Card Emulation)技术是Google于2013年在Android 4.4操作系统中推出的一种新型NFC(Near Field Communication,近场通信)实现方式,旨在简化移动支付的安全流程。传统的...
安卓应用接入谷歌内购支付完整教程(源码)
思月行云
11-11 8217
1.在Google Play 控制台创建应用、应用内商品。2.发布应用到内测版或者正式版。3.在Google Play 控制台添加测试账号,用这个账号来测试支付。到此,支付的基本操作已分享。自己动手试一试吧!如果你觉得该文章对你有用,动动你的小手指,举手之劳,赞有余香!t=M85Bt=M85B丿独狼灬望曰https://www.jianshu.com/u/0fd3d0489c6a。
android--GooglePay 谷歌支付内购接入(2)
binbin
03-19 4711
android--GooglePay 谷歌支付内购接入(1) 一.支付返回CODE(BillingResponseCode) // * int SERVICE_TIMEOUT = -3;//服务超时 // * int FEATURE_NOT_SUPPORTED = -2;//不支持功能 // * int SERVICE_DISCONNECTED = -1;//服务单元已断开 // * int OK = 0;//成功 // * int USER_CANCELED
google支付问题及服务端订单验证解决方案
热门推荐
fableboy的学习点滴
07-19 1万+
最近在google play上线的应用内支付被人了,用户模拟发起了大量的支付请求,并且全部成功支付。搞得我最近茶饭不思。。今天总算是解决了,和大家分享一下。 我们客户端的支付实现步骤是: 1. app端调用google支付 2. 支付成功后,调用 自己服务器的发货接口,当然发货接口是做了签名校验的。 之所以在app端调用发货,是因为google貌似没有提供服务器端直接回调url的地方,所
Google 内购报错解决方式 (response: -1003:Purchase signature verification failed)
一品大帅的专栏
05-29 2708
问题 购买后,再次进行请求时,报错。 (response: -1003:Purchase signature verification failed) 原因 测试购买时,使用了android.test.purchased 进行购买。然后Security这个类,进行校验时通不过导致。 public static boolean verifyPurchase(String bas...
google支付接口以及解决方案 google支付查单
weixin_34343308的博客
04-10 1354
2019独角兽企业重金招聘Python工程师标准>>> ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值