서버운영하는 모바일 게임인데
유저끼리 실시간 동기화 하는 게임은 아니고 개인플레이인데 랭킹은 있는 게임임.
근데 어느날 갑자기 제일 비싼 캐시템을 구매한 내역이 900건정도가 서버에 올라옴 (1분에 몇백건씩 나뉘어서?)
구글 주문관리에는 당연히 안찍히고 ㅇㅇ
900건 로그 전부다 영수증 번호 없는걸로 찍혀서 왔던데
이 900건이 결제성공해서 아이템 획득했을때 들어오는 로그거든?
해당 아이디 들어가서 조사해보니깐 거의 캐시템으로 얻을수있는 재화 빵빵하게 있더라고
그래서 바로 호다닥 해당계정 영정시켰지..
그런데 어떻게 이게 가능한거임? ㅠ 유니티 iap 시스템이 허술한건가?
[💬] 허위결제는 원리가 머임??
익명(121.148)
2021-03-25 22:03:00
추천 0
댓글 6
다른 게시글
-
할인을 해도 팔리지 않는다.
[12][💬] 익명(211.215) | 21.03.25추천 0 -
형님들 rpg 게임만드는것 이 목표인 독학생인대 수학 질문좀 받아주세요!
[5][💬] 익명(61.40) | 21.03.25추천 0 -
내가 쓰는 유니티용 gitignore
[5][💬] r35(likudo) | 21.03.25추천 5 -
유니티 Gitignore 질문
[8][🐣질문] 익명(110.70) | 21.03.25추천 0 -
매직서바이벌 100만 ㄷ
[7][💬] 익명(222.238) | 21.03.25추천 0 -
GDPR 대응하는 인붕이들 있음?
[2][💬] 익명(106.101) | 21.03.25추천 0 -
망치 스킬
[5][💬] HoLong(rudahr5020) | 21.03.25추천 8 -
인디성님들 질문좀...
[💬] 익명(118.235) | 21.03.25추천 0 -
오브젝트 3개 합체질문
[6][🐣질문] 결전승기(gkrrywhtk2) | 21.03.25추천 0 -
깃허브 .git 로컬레포 용량 정리 가능해요?
[🐣질문] 익명(121.191) | 21.03.25추천 0
해당 댓글은 삭제되었습니다.
영수증 검증은 어떻게함? 결제되기전에 막는건가 그러면?
1. 코드를 까본다 코드에서 서버주소를 얻는다 코드를 해석해서 서버에 보내는 Key Value와 POST구조를 어렴풋이 파악한다. 구조를 바꿔가며 서버에 계속 주입해본다. 2. 코드를 까본다 결제에 필요한 코드부분을 조작해(결제확인 부분을 항상 true) 리패키징한다.
질문에 답이있네 재화 구매처리할때 들어온 요청 검증은 했음?
ㅈㄴ어렵네..
Playfab,뒷끝,플레이 나누 등, 백엔드 서비스 사용하면 결제 검증됩니다