电商系统漏洞？一张截图吃遍美食城

这是知乎上的一个回答，虽然故事有点可笑，但是看完之后你会不会快速检查一遍自己的电商系统流程呢？

故事大意是说一个「天才」同学靠ps了几张微信支付成功的截图，就成功忽悠了某个美食城，白吃白喝了几个月。

他是怎么做到的呢？

在微信支付时，他点开微信扫码之后，实际并没有进行支付而是快速切换好手机上事先存好的微信支付成功的截图（当然核心是要计算好自己吃什么，以及餐点的价格，如果遇上美食城打折，他估计就直接露馅了）给店员看。

店员看过他手机上的支付成功图（只是ps出来的一张图，并不是微信支付界面）店员就以为已经支付成功，就直接出票让他取餐了..

不禁要问，店员是不是傻？难道不知道自己机器上的餐点订单有没有支付成功么？
出事情其实也就出在了这里，店员没有或者无法核实订单支付是否已经完成，完全依赖客户手机上的支付状态，这也就产生了场景上的错误。

了解微信支付工作流程（其实差不多都是这么做的，连传统 POS其实也是这么做的）

Screen Shot 2016-11-01 at 05.11.13.png

再看看点餐微信支付的流程

Screen Shot 2016-11-01 at 04.59.48.png

这个故事告诉我们一个安全道理：千万不要相信任何客户端完整可爱的故事转自

原文自 https://zhilala.com/discussion/1054
知乎故事 https://www.zhihu.com/question/33634376/answer/129093669