@Rache1 #56
「 AlipayJSBridge.call("tradePay", { tradeNO: "2023042622001174211404250439" }, function(result) {});」
这个里面的 2023042622001174211404250439 ，应该就是你说的支付宝交易号吧。如果这个号是闲鱼在创建订单的时候生成的，那么这个号是否有必要暴露给买家和卖家呢？「买家在闲鱼 App 里面点击确认收货按钮」，这个时候闲鱼才应该从后台拿到 2023042622001174211404250439 这个交易号，发起确认收货，由用户在支付宝上输入密码确认。支付宝是确认的一方，但是发起的却是闲鱼。如果这个交易号暴露给了卖家，那么卖家也可以作为发起人了。这也就是不必要的信息暴露导致的风险。
所以一个关键的问题就是，这个交易号是不是必须暴露给卖家（比如卖家伪装取消订单拿到了这个交易号）。如果存在这种暴露的可能性，是不是可以进一步改进这种交易号的设计（应该由支付宝来做）。

@xmumiffy 或者这么理解，订单号对于谁可见，本质上是业务上的必要性的问题。如果一个订单号可以只对闲鱼可见，那么就无需暴露给买家和卖家。对于任何一方，都只暴露给其所需的最小信息量。这样攻击面也会最小化。支付宝的买家和卖家直接交易中，双方都可以见到支付宝交易的订单 ID ，便于双方核对。

那么闲鱼作为中间方的担保交易也是这样吗？买家的钱首先是打给闲鱼的，而不是打给卖家，所以订单 ID 应该也分成买家和闲鱼、闲鱼和卖家这 2 份，至于它们后台共享同一个业务 ID ，那这个 ID 应该是只对闲鱼可见的。我不懂支付业务，但直觉上感觉是应该这样设计的。

@xmumiffy 订单号足够长的话，就是能起到密码的作用，也可以起到与密钥同等的效力。这点不用怀疑吧。如果可以做到的话，那么逻辑上是更完整的。再加上你说的鉴权行为，相当于是两道加密的效果。这两道加密没有什么主次之分。

@coolcoffee
@cyansto
我搜了下“支付宝确认收货”，还真有这个接口。。没有交易金额，只输入确认密码。

那现在问题比较清楚了，支付宝在收到确认收货的调用时，没有做域名校验，这应该是主责。但是，闲鱼的设计是不是有漏洞呢？按常理，「确认收货」这个动作，只有在买家的闲鱼 App 里面才可以操作，对吧，但由于卖家获取到了订单的 ID ，直接调用了支付宝的接口，实现了确认收货。

这里面闲鱼的处理逻辑是有漏洞的，因为订单的 ID 对于买家和卖家，应该都不可见才对，尤其是对于卖家。只有在买家点击「确认收货」时，才由闲鱼 App 从后台获取到这个订单 ID ，然后发起支付宝确认操作。这样，就类似于 @coolair 所说的「买家订单号和卖家订单号分开来生成」了，卖家是无法见到这个订单 ID 的，卖家应该也用不到这个订单 ID （即使是卖家取消订单？）。

我不知道支付宝的担保交易的逻辑，生成订单 ID 的逻辑是什么样的，生成的订单 ID 是不是只是对于闲鱼可见，还是对买家和卖家都可见。如 @coolair 那样的方案，在密码学上更严谨。像 @fydpfg 所说的，「正确使用密码学来保证协议的安全性」

@coolcoffee #18 >“。。匿名调用订单核心操作，这个锅得让支付宝来背。。”
@cyansto

你们能相信支付宝有「确认订单完成」的接口或功能吗？支付页面肯定要显示支付金额的，我没有见过只输入支付密码的而没有交易金额显示的，想想也不符合实际场景啊。所以，我觉得应该不是支付宝的问题。而是闲鱼的 bug 。

“确认收货”这个肯定不是支付宝能够做出的动作。这一点成立的话，那么无论支付宝作出什么动作，闲鱼都不应该确认交易完成，并给卖家放款，因为确认交易完成只能买家在闲鱼 App 里面才能触发。

@functioncloud
如果是对闲鱼订单的支付，那么支付宝的支付页，显示的就是实际金额吧。

@functioncloud #9
可以看介绍骗局的里面提到的：「这个二维码通过闲鱼扫描之后会跳转到支付宝，支付宝支付一元之后，闲鱼突然自动收货了，此时骗子收到钱了之后把我拉黑了。」
确实只支付了一元啊。

@coolcoffee #7
关键在于，为什么 AlipayJSBridge.call 可以将订单设置为已收货状态？这才是关键的漏洞。

原理没看懂：
「也就是说，如果你在闲鱼下单之后，再使用你的支付宝账号向这笔订单付款，就会将这笔订单的状态自动变成确认收货状态，从而骗子可以收到款项」

我来理理这是什么逻辑。比如一笔订单 10000 元，我是买家，卖家有一个支付宝交易号(可能只在这笔订单中有效)用来收钱。如果我向这个支付宝交易号付款哪怕只有 1 元，订单就算是确认收货了。然后 10000 元就打给卖家了。是这个逻辑吗？可怕啊。

特意登录感谢一下 OP 。
很多人发帖都用第一种格式，然后点击链接后会提示"Imgur is temporarily over capacity"看不了图片。
今天才发现，只要把第一种格式( https://imgur.com/OMnnl1g.png )的 url 前面加一个"i."( https://i.imgur.com/OMnnl1g.png ) 就可以直接看到了。

感觉很有创意，想试一下。但我的 macbook 下载不了，系统是 macOS 11.7 ，要求是 macOS 13.0 以上。你是用到了最新系统的功能吗，看了下手机要求 iOS16.0 或更高版本，这就拒绝了一大批潜在用户吧。

@oygh 哈哈😄

您这招聘够省事的，能力要求用一句对标阿里 p6 就解决了。懒老板招勤快员工，是吗。

有道理啊。但国内开发者有一个劣势，就是对国外的需求和痛点不清楚啊。比如做一个学英语的软件，老外和国人学英语的痛点一样吗？身在国内，那国外的很多东西都不清楚。英语这一关就必须得过。

@blackbeardd
从盈利模式考虑的话，也有可能是在给定主题的问题上，回复一些答案。这些答案可能包含一些广告之类的推广。现在的百度知道里面，已经有不少机器人写的答案了。

@blackbeardd
👍，很可能哦。百度问答、不会爬（下载）数据侵权、需要些爬虫技能、需要登录（回答问题）。
不过怎么盈利呢？

https://www[dot]youtube[dot]com/watch?v=w0iwIzpypGc&t=5579s
好像自动截断了。把上面的[dot]换成.即可，t=5579 是开始写 app 的时间

youtube 高清链接：
https://www.youtube.com/watch?v=w0iwIzpypGc&t=5579s