工作上常会遇到一些工作室来钻这种漏洞
在工作室的术语里面 称这种有办活动的公司叫做白菜
他们的工作就是刷白菜 要跟这些工作室斗智是必要的
以这个案例里面有问题的几个地方感觉是可以注意的
1.电话号码
在台湾电话号码理论上应该是比较难大量取得的
所以应该是 PM 有提出只要电话号码没问题 就可以过关不检查
工程师照规格作的话 不能算工程师的锅
但还是有些网站可以提供免费收短信, 甚至还有可以谈合作的空间
费用其实也不贵
我随便举两个例子
https://www.yinsiduanxin.com/blog/35.html
http://taiwan-sms.net/page/20
还有其他更详细的我就不提供了
当然如果是短信验证那块没写好的话, 就是工程师的锅了
那代表全联要嘛外包 要嘛花钱请的工程师或顾问层级太低
2.点数可以转移
做此类型活动, 一般点数是不可转移, 就算转移也是上转下
在控管时候比较可以监控跟控制整条线的情况
通常如果有不限制的点数转移, 安全机制就必须加上
转移就跟洗钱一样 技术好的话其实洗到你很难追查
这次我看是菜鸟等级的 才会轻易被查到
不然跳跳 IP, 弄些假身份, 找其他收钱管道都是很正常的事情
3.安全检查机制
报表式的监测跟检查, 没时间作完整的话, 也可以在半夜直接组 SQL 统计检查
监测每天, 每个帐号, 每个IP 的成长跟排行数据
应该是可以快速看出问题, 即早发现的
这一块通常资深工程师, 可以说服公司处理才对
有点层级的工程师, 即使公司资源不足情况下, 也该用抽查方式, 或是提供 SQL 监控
之前的经验是, 工程师必须了解逻辑并且想的多一点, 最好还有采坑经验
因为用户为了钱, 会无所不用其极的钻你的漏洞
很多你自己的逻辑跟技术问题, 一下就会被攻破
更别说你完全按照规格完成以后, 还是有很多延伸的逻辑问题可以注意
台湾大多数的线上问题都是防君子 还有法律可以协助
真正进阶的攻击者 是不会留下这些尾巴的 所以还是能多加强比较保险
以上几点是目前想到的 大家有想到可以补充讨论