工作上常会遇到一些工作室来钻这种漏洞
在工作室的术语里面 称这种有办活动的公司叫做白菜
他们的工作就是刷白菜 要跟这些工作室斗智是必要的
以这个案例里面有问题的几个地方感觉是可以注意的
1.电话号码
在台湾电话号码理论上应该是比较难大量取得的
所以应该是 PM 有提出只要电话号码没问题 就可以过关不检查
工程师照规格作的话 不能算工程师的锅
但还是有些网站可以提供免费收短信, 甚至还有可以谈合作的空间
费用其实也不贵
我随便举两个例子
https://www.yinsiduanxin.com/blog/35.html
http://taiwan-sms.net/page/20
还有其他更详细的我就不提供了
当然如果是短信验证那块没写好的话, 就是工程师的锅了
那代表全联要嘛外包 要嘛花钱请的工程师或顾问层级太低
2.点数可以转移
做此类型活动, 一般点数是不可转移, 就算转移也是上转下
在控管时候比较可以监控跟控制整条线的情况
通常如果有不限制的点数转移, 安全机制就必须加上
转移就跟洗钱一样 技术好的话其实洗到你很难追查
这次我看是菜鸟等级的 才会轻易被查到
不然跳跳 IP, 弄些假身份, 找其他收钱管道都是很正常的事情
3.安全检查机制
报表式的监测跟检查, 没时间作完整的话, 也可以在半夜直接组 SQL 统计检查
监测每天, 每个帐号, 每个IP 的成长跟排行数据
应该是可以快速看出问题, 即早发现的
这一块通常资深工程师, 可以说服公司处理才对
有点层级的工程师, 即使公司资源不足情况下, 也该用抽查方式, 或是提供 SQL 监控
之前的经验是, 工程师必须了解逻辑并且想的多一点, 最好还有采坑经验
因为用户为了钱, 会无所不用其极的钻你的漏洞
很多你自己的逻辑跟技术问题, 一下就会被攻破
更别说你完全按照规格完成以后, 还是有很多延伸的逻辑问题可以注意
台湾大多数的线上问题都是防君子 还有法律可以协助
真正进阶的攻击者 是不会留下这些尾巴的 所以还是能多加强比较保险
以上几点是目前想到的 大家有想到可以补充讨论

看是找到什么样的员工跟主管.....不好说XDDD

很多网站都马防君子而已不过牵涉到钱确实该慎重

人在台湾还能抓得到，在国外的话就有些难度了，别忘了，有些类似这种的都是成员分散在N个国家。

这个活动很赶，你先快点做

所以像这种以手机为主的程式最好就是把手机号码设为unique,然后pk使用surrogate key以提供换门号的需求

感觉就是想cost down 不尊重专业的下场

另外这个案例提供一些经验：最好用国外的短信代收平台,然后不要集中把点数转给一个人,卖出后再由不同人转点数给买家,至于金流是比较麻烦的,容易要被查到,洗钱成本高,不划算

处理金流问题确实麻烦总不能让买家都付你门罗币XD

他就笨在把点数集中 随便捞一下资料也知道他在乱搞啊不然几百个帐号零散的点数转给零散的不同帐号太正常了工程师没那个时间仔细作查验 这种工作价值太低

怎么讲到最后都是工程师的锅...

因为检讨被害者优先++不过这种东西要防 就得从一开始的机制做好上限其实能加到这么多也是蛮奇葩的有可能是包袱 例如真的就是有大户可以这样玩我某个客户的会员消费累计金额都破千万的 看了纪录都觉得太神惹而且还不是单纯破 是数，且这种人不是一个工程师蛮可怜的 遇到这种秀下限的会员or工作室就要想办法攻防之前也遇过一些会员喜欢拿试用品 就大量注册 客户资本粗没在怕 让会员多拿几次平均这群人会多拿二三次左右 然后再会有几个人这群的极端例如：重复拿到超过三四十次的XD 甚至阻挡机制启用后还是继续努力不懈