iOS的内购伪造单据识别

最新推荐文章于 2023-08-01 10:16:34 发布
最新推荐文章于 2023-08-01 10:16:34 发布
阅读量644 收藏 1
点赞数
分类专栏: 日志 服务器 文章标签: ios
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/draracle/article/details/128346883
版权

    前段时间在拿到苹果的对账数据之后,发现数据与服务器上的数据差异很大,这点让我感觉很奇怪,于是我对数据库内存储的单据做了一次详细的检查,最开始的想法是黑卡,或者退款,但苹果的对账单内显示,退款很少,那问题的关键并不在这儿,我只能一条一条的排查,在排查的过程中,我发现了这样的情况:

1)in_app内是空的;

2)in_app内购买的是别的项目;

这个就是典型的伪造单据了,这些黑客怎么生成这个单据的我不知道,而且这些单据,特别是第一类,还能在苹果的服务器上验证通过?

我后来想了一下,修改了一下代码,加强了客户端传递数据的校验,客户端传递给我的购买项目和数量,必须和in_app内某一项完全吻合,我才给与物品,否则直接把这个账号封号。

draracle
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iOS应用内购安全:生成共享密钥以验证收据+核对凭证内不能伪造的字段【解决IAP收据伪造问题】
iOS逆向与安全
03-05 384
服务端请求苹果凭证校验接口时,除了传receipt-data字段,再额外传一个password参数(苹果后台生成的共享密钥)。服务端相关文档https://developer.apple.com/documentation/appstoreservernotifications/responsebodyv2。APP 详细信息接口可用于检查版本: https://itunes.apple.com/cn/lookup?验证订阅或 App 内购买项目时,为提高通信安全,请在发送的收据中嵌入共享密钥。
iOS内购与apple pay
01-11
首先得分清楚 内购和Apple Pay。 一、Apple Pay:是一种支付方式,跟支付宝、微信支付是类似的,这里就不详细介绍了。 二、内购:只要在iPhone App上购买的不是实物产品(也就是虚拟产品如qq币、鱼翅、电子书......) ...
[IAP] 最近IOS内购伪造防刷单问题,bid(BundleID)能被伪造,
zhenmu的专栏
08-01 895
苹果WWDC23对verifyReceipt API 弃用,并提供了相应的兼容迁移建议,本文还介绍了receiptData 旧收据伪造问题和苹果新推出的 App Store Server Lib。这 2 个 API 获取的 receiptData 凭证,经过苹果 verifyReceipt API 解析后的格式是不同的。目前发现, iOS 7 之前的旧凭证 API,黑产能伪造票据中的 Bundle ID!苹果 App Store 支付弃用 API 接口兼容和解读 - 掘金。
唐巧:iOS应用内支付(IAP)的那些坑
Thinking in Haxe - Rocks Wang的专栏
04-12 2173
来源:唐巧的博客(@唐巧_boy) 前言 我们在今年春节后上线了新的在线智能题库:猿题库。猿题库现在推出了公务员考试行测和申论2个产品,均包括web, iOS和Android三个平台。这次我们尝试做一个收费的产品,所以在iOS端集成了应用内支付(IAP)功能。在开发过程中和上线后,我们遇到了IAP中的一些坑,在此分享给各位。 IAP 审核相关的坑 IAP开发的详细步骤我写在另一篇博客中
Ios内购防漏单、刷单、订单重复
qq_32940999的博客
10-28 4276
Ios苹果支付流程: 1、客户端先从苹果获取内购Id。 2、客户端将内购id,金额、用户id等传给服务端获取一个自己服务端生成的订单号。 3、客户端向苹果发起支付。 4、支付成功后,客户端从本地拿支付凭证、将支付凭证和订单号、用户id等参数传给服务端;服务端拿支付凭证向苹果发起验证订单是否有效,然后将结果反馈给客户端。 5、客户端刷新用户个人信息。 漏单: 以上流程中可能会出现漏单的情况:当客户端...
关于apple pay防止伪造的付款成功的方案
冲吧,不要停!
05-25 2668
当你付款成功能后,会收到一个从apple来的receipt.,内容大概6000多个字符的字符串:      MXABCEFEFDSFSDF... 通过这个字符串,可以去apple验证这个串是否是合法的。拿这个串去验证时,会返回一个json。格式如下: {     "status": 0,     "environment": "Production",     "receipt": {
苹果内购后的Receipts内容注解
funty的博客
02-18 3255
验证Receipt方式参考:https://developer.apple.com/cn/documentation/storekit/in-app_purchase/validating_receipts_with_the_app_store/ 沙盒环境:POST https://sandbox.itunes.apple.com/verifyReceipt生产环境:POST https://buy.itunes.apple.com/verifyReceipt { "receipt-data": "{{.
iOS内购实现及测试CheckList
03-23
iOS内购实现及测试CheckList.免费+应用内购买的模式已经被证明了是最有效的盈利模式,所以实现内购功能可能是很多开发者必做的工作和必备的技能了。但是鉴于内购这块坑不算少,另外因为sandbox测试所需要特定的配置...
Unity接入IOS内购工程UnityPurchasing.zip
09-08
Unity使用IAP接入IOS内购工程,接入过程和介绍可查看博文:https://czhenya.blog.csdn.net/article/details/120173348
iOS内购功能demo
07-19
iOS内购功能简易实现
iOS 微信 Apple登录 内购 Google Facebook AppsFlyer接入工具类
09-07
Package Dependencies 方式接入 第三方SDK 方便快捷
iOS 内购最新讲解
GJQI12的专栏
03-12 1274
本文来自IIronMan,作者 枣泥布丁 本文为CocoaChina网友IIronMan投稿 一.总说内购的内容 协议、税务和银行业务 信息填写 内购商品的添加 添加沙盒测试账号 内购代码的具体实现 内购的注意事项 二.协议、税务和银行业务 信息填写 2.1、协议、税务和银行业务 信息填写 的入口 协议、税务和银行业务 ...
苹果IOS内购验单完整流程,in_app购买收据处理
weixin_38316591的博客
10-11 3533
// 收据格式处理 val data = JsonObject() data.addProperty("receipt-data", receipt.replace(" ", "+")) val entity = StringEntity(data.toString()) entity.setContentEnco...
IOS游戏上架 玩家iap充值 base64码发到苹果验证收据 返回值里面没有 in_app 段的奇怪问题.
03-11 8237
这几天我们的IOS游戏上架了.然后收到了很多的用户充值.但是itunesconnet上面却只有2个人确实是交了钱.肯定有人骗了我们. 先介绍下我们的验证流程: 手机发起充值->购买成功->获取到base64的收据->发送给游戏服务器进行验证->如果成功则算玩家充值成功下发充值结果 乍一看好像没有问题.也确实应该没问题.但是偏偏就有了问题.给你们看个神奇的base64收据.鬼知道怎么倒持出来的
IOS购买支付篇 In App Purchase Xcode实现代码
perla_的专栏
12-05 1146
In App Purchase" title="IOS购买支付篇 In App Purchase" style="margin:0px; padding:0px; border:0px; list-style:none"> 如上图所示,是支付的一个完整的流程,接下来我会为大家详细剖析。 1、首先验证是否能够支付  - (BOOL)checkCanMakePayment {     i
苹果内购 订单验证 21002 坑
一百度的风的博客
12-02 5127
苹果官方文档上说: 要从设备上的 app 检索收据数据,请使用 NSBundle(英文) 的 appStoreReceiptURL(英文) 方法来找到 app 的收据,再对该数据进行 Base64 编码。接着将这个以 Base64 编码的数据发送到您的服务器。 意思是,客户端拿到收据receipt数据后,要进行Base64加密后,发给服务器,然后服务器再向App Store进行验证,但是客户端拿到的收据数据其实是已经加密过的,再次加密就会收到 App Store 返回的21002错误码 ...
IOS 内购遇到的坑
banrong0468的博客
06-26 216
1.IOS在app中销售虚拟商品,必须用内购方式,不能使用微信、支付宝 2.IOS在app中不能用内购方式购买实体商品,比如线下课程。 转载于:https://www.cnblogs.com/zsq3975/p/11092513.html...
iOS内购 服务端票据验证及漏单引发的思考.
09-16 842
因业务需要实现了APP内购处理,但在过程中出现了部分不可控的因素,导致部分用户反映有充值不成并漏单的情况。 仔细考虑了几个付费安全上的问题,凡是涉及到付费的问题都很敏感,任何一方出现损失都是不能接受的,所以在这里整理一些支付安全的要点分享一下。 支付方式 IAP是指In-App Purchase, 是一种付费方式,而并不是苹果专有的付费方式,在其它平台上也会有不同的实现,这里针对A...
uniapp iOS 内购
最新发布
08-24
在uniapp中实现iOS内购需要按照以下步骤进行操作: 1. 首先,在iTunes Connect(https://appstoreconnect.apple.com/)应用后台登录并创建App内购项目,在此过程中需要设置税务和银行卡等配置信息。 2. 然后,在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值