接口这样设计，资金没了都不知道为啥

开发以为开发好了，测试以为测好了，然后钱还是被“合理”盗走了。

最近有各种拼手气红包小程序比较火，诸如包你答、包你拼、包你说等等。很多小程序都是匆匆上线，接口层面设计存在有很大的安全隐患问题，往往容易被人所利用刷红包，刷提现等资金问题。用户一旦发现资金被盗，那这个小程序基本是要废了。

下面根据实际案例，给大家讲讲我是怎么找到一个拼手气红包类小程序的漏洞的。当然，目的是为了学习，不是干坏事。如果你是测试，那你可以在你自家产品上测试是否类似漏洞，如果你是开发，可以查看下代码避免出现有类似漏洞的接口设计。

下面是一个你画我猜的小程序，发起方可以画一幅画，然后塞红包，分享给好友猜，猜中的人就可以获得拼手气红包。

好友通过分享进入

1、抢你红包没商量

注：返回数据中的"group_info"值以及图片地址是简化处理过的。

从返回数据中结合页面信息，很多字段都可以大概猜测是什么意思，如：answer(答案)，由于这个关键值的暴露，我们就可以轻而易举知道画里面的答案，然后就可以做到无论画了什么乱七八糟的东西，我都可以回答正确，顺利拿到红包，如啥都没画我就猜中了：

这个时候，再深入研究下就会发现，接口请求参数中有个关键的字段 drawgroupid（画id），而且值是纯数字，自己尝试连续创作几幅画之后，发现这个字段的值是按+1规律增长的，那岂不是可以任意回答任何一篇画了？接着写了个脚本循环就会得出下面的情况：

热心的我把这个bug反馈给了开发者，开发者修复为：如果没有回答对，接口返回信息中的 answer 为空，所以你现在去试的话，会发现 answer 字段接口信息为空。

2、换个身份获取答案

很多人以为上面的bug已经修复了，其实这个bug是没有发现修干净的，怎么说呢？大家再深入想下，这幅图回答者不知道答案，总得有人是要有权限知道答案，在页面显示的吧？猜测是两类可能可能有权要知道，一类是已经回答正确的回答者，一类是画的创建者，显然从画的创建者权限入手找bug是比较合理的，毕竟一幅画一定有创建者，但不一定有正确回答者。

我们重新回到接口返回信息中寻找关键字段，会发现有个 quesuserid ，可以断定这个就是创建者的用户id，抱着试一试的心理，我将请求接口中的userid的值更换为quesuser_id的值，结果发现，真的返回答案了。又可以继续刷红包了，表示很无奈呀。

此时，再细细想一下，发现一个可怕的问题，这么说，这个小程序是完全没有身份态一说呀，一个user_id走天下，所以接下来我又做了进一步的尝试来证明我的想法，就是接下来要说的另外一个bug。

3、转你钱没商量

这个小程序跟钱相关的地方还有个赞赏功能，就是你欣赏一幅画，可以对画的创建者进行打赏，优先使用存在小程序上的余额（免密）。这个时候我尝试了一下查询余额接口，居然没有做任何限制可以查询，尝试了赞赏接口发现只需要转账人id、接收者id、赞赏金额，三个关键参数就可以直接转账了，重点的是user_id也是有规律有序的，我尝试遍历了一下其他人账户余额：

当然，我遍历只是查询余额而已，没有真正把其他账号的钱转到个人账号上，毕竟这对这个小程序的生态破坏太厉害了，不是bug这么简单了，我是通过把自己的赞赏其他用户的形式来验证自己的想法的：

事实证明，真的可以直接转！！！非常热心的我再次向开发者反馈这个问题之后，开发者默默的修复了这个问题，加上了身份态校验，也就是请求参数中的 t、v 这两个参数，其实这两个参数一开始就有的，我也不知道为什么一开始没有生效，难道遗漏了？

总结后话

提现、充值与前相关的接口设计也有一些常见的安全漏洞，下期关键字“并发”，关注《测试有话说》，下次再来说。