[IAP] 最近IOS内购伪造防刷单问题,bid(BundleID)能被伪造,

于 2023-08-01 10:16:34 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 服务器 文章标签: ios 后端 游戏程序
原文链接:https://juejin.cn/post/7254373662455185469
版权

四、receiptData 旧收据伪造问题

WWDC23-AppStore-DeprecatedAPI-11.png

对于 StoreKit Original API 获取的 receiptData 凭证,苹果在客户端有 2 个 API :

格式区别: 这 2 个 API 获取的 receiptData 凭证,经过苹果 verifyReceipt API 解析后的格式是不同的。

问题: 目前发现, iOS 7 之前的旧凭证 API,黑产能伪造票据中的 Bundle ID !

目前不能伪造的字段:

  • app_item_id:app id,app 在苹果商店的唯一标识
  • item_id:商品 id,内购商店在苹果商店的唯一标识
  • transaction_id:交易 id,苹果的凭证收据的唯一标识(苹果订单号)

建议:

  1. 服务端要校验以上3个不能不能伪造的字段。
  2. 通过 Apple Store Server API 是查询 transaction_id 做二次校验。
  3. 如果 app 本身是通过新票据 API 获取,服务端可以直接拒绝旧票据的交易。

         

各位开发者要注意

苹果 App Store 支付弃用 API 接口兼容和解读 - 掘金苹果WWDC23对verifyReceipt API 弃用,并提供了相应的兼容迁移建议,本文还介绍了receiptData 旧收据伪造问题和苹果新推出的 App Store Server Libhttps://juejin.cn/post/7254373662455185469 

iOS应用内安全:生成共享密钥以验证收据+核对凭证内不能伪造的字段【解决IAP收据伪造问题
专注于计算机研发知识和资讯分享
03-05 1112
服务端请求苹果凭证校验接口时,除了传receipt-data字段,再额外传一个password参数(苹果后台生成的共享密钥)。服务端相关文档https://developer.apple.com/documentation/appstoreservernotifications/responsebodyv2。APP 详细信息接口可用于检查版本: https://itunes.apple.com/cn/lookup?验证订阅或 App 内买项目时,为提高通信安全,请在发送的收据中嵌入共享密钥。
IAP支付之三】苹果IAP安全支付与范 receipt收据验证
热门推荐
Teng's world
07-23 6万+
这里网上的朋友已经介绍的很详细了,具体的链接已经无法找到了。 这里主要说几点本人在开发中遇到的问题: 1.漏必须要处理,玩家花RMB买的东西却丢失了,是绝对不能容忍的。所谓的漏就是玩家已经正常付费,却没有拿到该拿的道具。 解决:只要买成功,便将买记录(receipt等账信息)保存下来,然后将账信息传送给我们游戏服务器,游戏服务器获得账后,和苹果服务器验
iOS的内伪造据识别
draracle的巢穴
12-16 786
iOS伪造识别
ios 支付验证 php,PHP服务端验证APPLE支付的收据
weixin_34928052的博客
03-10 616
使用服务器来交付内容,我们还需要做些额外的工作来验证从Store Kit发送的收据信息。重要信息:来自Store的收据信息的格式是专用的。 你的程序不应直接解析这类数据。可使用如下的机制来取出其中的信息。验证App Store返回的收据信息当交易完成时,Store Kit告知paymentobserver这个消息,并返回完成的transaction。SKPaymentTransaction的tra...
微信支付根据Transaction_id查询订信息
m0_37598340的博客
04-19 2232
@RequestMapping("/getPayResult") public String getPayResult() { String orderInfo = generateOrderInfo(); QueryOrderResponseExt ext = null; try { ext = (QueryOrderResponseExt) WechatConnection.connect("https://api.mc.
唐巧:iOS应用内支付(IAP)的那些坑
Thinking in Haxe - Rocks Wang的专栏
04-12 2262
来源:唐巧的博客(@唐巧_boy) 前言 我们在今年春节后上线了新的在线智能题库:猿题库。猿题库现在推出了公务员考试行测和申论2个产品,均包括web, iOS和Android三个平台。这次我们尝试做一个收费的产品,所以在iOS端集成了应用内支付(IAP)功能。在开发过程中和上线后,我们遇到了IAP中的一些坑,在此分享给各位。 IAP 审核相关的坑 IAP开发的详细步骤我写在另一篇博客中
PHP实现苹果(IOS)(IAP)
li15139444613的博客
08-15 7267
反反复复经过多次重写(内部需要),发现苹果使用PHP来验证苹果内数据是否正确并不是一件很难的事情。我把我的一些心得写出来,以供以后有这方面需求的小伙伴参考,以PHP语言为例,谁让PHP是最好的语言呢! 首先要知道苹果内分沙箱环境和正式环境,两者区别就是名字不同,请求是需要携带的参数是相同的。最重要的就一个数据,叫receipt-data,这个一般是APP传递给你的,你拿来组装成苹果系统认识的...
IAP-应用内买(部分)
chowpan的专栏
02-25 2万+
前言:自我总结--- loadStore(监听交易,请求产品描述:完成交由委托->获取产品描述-.交给fetch自定义委托LB显示)-> 2,点击买->激活交易监听进行买payment->交易监听事件(相当于委托)-主要与store交互实现买-> 3,显示买uialertview买界面->cancel-正常消失; 买:输入账号view--输入正确时,激发交易监听事件(主要与st
iap破解
hudisunqian的专栏
06-16 562
哥们新开发的游戏上线后我手贱用内插件给破解了,于是他开始研究破解,
WWDC21 - App Store Server API 实践总结
iOSTeam37的博客
01-25 6227
2020 年 6 月苹果提供了退款通知,但是因为不是 API 方式,导致开发者不一定能收到退款通知。另外像用户充值成功但 app 没有提供金币或服务等,开发者一般无法判断用户是否真的付款了。综上,苹果在 WWDC21 带来了全新强大的 App Store Server API,本文让我们从了解到实践的过程,全面认识 App Store Server API。
苹果bundle id是什么?
摘星辰Li
10-24 4万+
什么是 Bundle ID ? Bundle ID 「Bundle identifier」也叫 App ID 或者应用 ID, 一个开发者账号下每一个 ios 应用的唯一标识,就像一个人的身份证号码; 关注三个点:开发者账号,开发者账号下的所有应用,所有应用对应一个bundle id Bundle ID有什么作用? 或者你们在同一个账号下或者在其他账号下提交过这个包,只是被拒了,又被延迟了才又...
Store Kit Guide(In App Purchase)翻译
weixin_33971977的博客
04-19 379
一、In App Purchase概览 Store Kit代表App和App Store之间进行通信。程序将从App Store接收那些你想要提供的产品的信息,并将它们显示出来供用户买。 当用户需要买某件产品时,程序调用StoreKit来收集买信息。下图即为基本的store kit 模型: Store Kit的API只是为程序添加In App Purchase功能的一小部分。你需要决定...
IOSIAP(IN-APP-PURCACHE)收据
littleshenyue的博客
07-16 3394
IOSIAP收据数据
iOS逆向—收据验证
iOS_开发
08-20 1153
黑客技术点击右侧关注,了解黑客的世界!Java开发进阶点击右侧关注,掌握进阶之路!Python开发点击右侧关注,探讨技术话题!关于收据收据 (Receipts) 是在 O...
ios越狱插件护策略 iap 更安全
滴水成川
07-30 1864
ap cracker   :越狱软件 可以 截获付费请求,并直接返回 付费成功。  iap free       : 截获付费请求的同时,还能截获客户端发起的 验证请求 ,返回验证成功的 数据 ,据说 返回的数据 和 官方的数据并不是完全一样,可以识别出来是否作弊,但是不保证永久有效。   针对 iap cracker,iap free , Apple 已经采取了措施,就是 添加了一个 验证
IAP支付
陆多多的专栏
02-15 3132
一、IAP支付流程1.应用从服务端获取ProductId2.应用根据ProductId从App Store获取商品信息并展示3.用户选中并点击后,应用向App Store发送payment请求,App Store处理该请求并返回transaction4.应用从transaction中获取receipt,并发送给服务端。5.服务端记录receipt并发送receipt到App Store校验结果是否合
ios流程
一个游戏制作人的自我修养
11-28 4487
1. 适用情况 想使用In-App Purchase(以下简称IAP)完成App内付费前,先确定需求是不是能用这个方案来满足。 除了IAP以外,还有支付宝SDK、信用卡等其他方式完成软件内付费。 在苹果制定的游戏规则中,所有在App内提供的服务需要付费时,都应当使用IAP,比如软件功能、游戏道具;所有在App外提供的服务需要付费时,都应使用其他支付方式,比如Uber的信用卡,淘宝、快的打车的
苹果应用内支付(iOS IAP)的流程与常用攻击方式
u011661836的博客
02-08 7280
苹果应用内支付(iOS IAP)的流程与常用攻击方式 Jan 19, 2017 常见支付流程 iap(in app purchase)指苹果应用内支付, 目前主要有两种方式。 1. 客户端直接verify苹果的receipt 如果verify成功 自行发放商品 2. 客户端将receipt传给server,由server进行验证并发放商品 按照安全性原则,
IAP 自动续费后端接入指南
theCrucian的博客
04-19 1万+
IAP 自动续费接入指南前言使用场景接入流程1. 后台配置2. 方案选择三种方案的对比最终方案3.关键点续费表扣费状态的设计如何判断用户续费成功?如何判断用户关闭订阅?如何判断苹果扣费失败?如何判断用户在订阅周期内切换商品?如何判断用户已退款?server轮询时查哪些数据?关于幂等性校验和restore问题如何判断首优惠?如何判断免费试用? 前言 iap自动续费在线上运行了比较久的时间了, 相对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值