看我如何1元(其实可以更低)购买微拍VIP以及敏感支付key泄露（续）

看这里： WooYun: 看我如何1元(其实可以更低)购买微拍VIP 

2015-04-08： 细节已通知厂商并且等待厂商处理中

2015-04-08： 厂商已经确认，细节仅向厂商公开

2015-04-11： 厂商已经修复漏洞并主动公开，细节向公众公开



为什么说漏洞修复了呢？明明就没有修复嘛。

漏洞证明：

1.模拟器安装app

2.点击vip，然后抓包

3.修改数据包，支付

本来想修改一下一年的，因为测试，所以后来还是修改的一个月的

4.支付

5.OK

6.看结果

结果还是开通了一个月的。



话说反编译了一下apk，结果发现很多内幕东东

比如微信api的key

比如支付宝的key

这些是不是应该保存在服务端的好点

而且发现程序很多都是写本地sqlite db的，比如刚才那个支付漏洞，那岂不是可以随便写？

sqlite最好加个密，完。