一般來說
手機下單軟體就是往後敲,webapi
其他裝置,基本上也是除了廣播行情會用socket以外其他這幾年應該都是api了,券商交
易
整個大架構也分前中後台
前台多半是處理,驗證跟下單的邏輯
成單後丟進中台送到證交所期交所去競價去了
然後回報進後台或是一樣中台處理,成交再發訊息,給用戶端跟自己做紀錄。
下單基本上,憑證,id(補充這裡會有數位簽章)然後會走一個訂閱制
成單就會透過系統往回送訊息,照上面推文的一些細節來看,駭客應該是用了軟體虛擬機
(就是我們程式設計在開發的有時候不會有手機
可以刷或是裝會用 軟體虛擬一個手機介面,或是他直接拿apk檔去刷機用)
然後不知道從哪裡盜來的憑證,可能是利用js的xss攻擊,這種就是很常會發生,作假的
網站或是真的網站利用js注入把你輸入進去登入資料
也順便轉一份到駭客js設定好的地方,很常發生在忘記密碼重登或是廣告信,中獎信這樣
。
(提醒 大家點或是登入前要注意網站網址跟logo)
再利用原始程式碼,編譯出來的執行檔搭配憑證下去操作,投資先生出來之前前是有點精
靈的app版
對server端來說他也不太會去檢查你這次是用什麼裝置,畢竟下單哪裡方便用哪裡,大概
就是做個紀錄在那邊下的。
只是,他怎麼知道那些複委託帳戶有資金,還是他真的就是暴力解每個帳號都試?
那今天應該會有很多人收到消息
然後我覺得他們應該是急著完成,沒得商量那種
因為他們沒有考慮成交回報得子系統會對同一個帳號不同裝置,統一發佈成交回報。
或者說,他們只想快點脫手? 不知道這錢現在跑去哪了。
我是很想知道他們怎麼知道那些帳戶裡面有錢,然後看起來,因為營業員都說看到是某個
app下單的,那應該是有能力買到或是拿到 舊的app程式碼的人。