交易支付漏洞的幾種常見類型麼？

支付漏洞的理解一般都是篡改價格。好比，一分錢買任何東西。少收款、企業收費產品被無償使用，直接形成企業的經濟損失。本期咱們來聊一聊交易支付邏輯漏洞。

先說說支付流程出現邏輯漏洞的嚴重性吧~ 哆啦A夢

支付漏洞的理解一般都是篡改價格。好比，一分錢買任何東西。少收款、企業收費產品被無償使用，直接形成企業的經濟損失。

豌豆妹

交易支付邏輯漏洞的呈現形式有哪些呢？

小丸子

支付成功後，實際價格與支付價格不相等。能夠舉一些案例以助於更好地理解。

例一，充值的時候，程序只判斷訂單有沒有充值成功，但沒有判斷金額，例如：生成訂單跳至支付寶頁面，在原網站上點支付失敗，這時能夠修改訂單，改爲更大的金額（訂單號沒變），回到支付寶支付頁面，支付成功。程序並無從新覈對支付寶實際的金額，只是把訂單改成已支付。

例二：使用餘額支付，把數量改成負數，總金額也爲負數，扣除餘額時，負負得正，這時餘額增長。

豌豆妹

那如何測試交易支付是否存在邏輯漏洞呢？

葫蘆娃

一、在購買產品過程當中修改產品數量、價格；

二、在支付時修改總價格或者優惠價格；

三、訂單生成後，編輯訂單把A商品的價格改爲B商品的價格，實現低價支付。

測試時，修改數量、單價，優惠價格參數爲負數、小數，無限大，看是否能生成訂單，能生產進入支付即說明存在邏輯漏洞了。

豌豆妹

能說說交易支付漏洞的幾種常見類型麼？

哆啦A夢

一、修改金額；

二、修改商品數量；

三、修改優惠金額；

四、修改數量、單價，優惠價格參數爲負數、小數，無限大；

五、商品價格更改；

六、支付key泄露等。

實際安全中會有一些比較特別的，反正各類能改的參數都去嘗試。個數*單價-優惠券個數*單價=總額，每一個值均可能存在問題，就看服務自身處理是否有問題了。

豌豆妹

能說說支付漏洞的修復方案麼？

小新

一、在後端檢查訂單的每個值，包括支付狀態；

二、校驗價格、數量參數，好比產品數量只能爲整數，並限制最大購買數量 ；

三、與第三方支付平臺檢查，實際支付的金額是否與訂單金額一致；

四、另外，若是給用戶退款，要使用原路、原訂單退回。好比：退押金，按用戶原支付訂單原路退回；

五、MD5 加密、解密、2881064151數字簽名及驗證，這個能夠有效的避免數據修改，重放攻擊中的各類問題；

六、金額超過指定值，進行人工審覈等。

豌豆妹

 

好噠~你們有其餘感興趣的話題，也能夠在後臺留言給本寶寶喲~感謝你們的持續關注！ 安全小課堂往期回顧：一、論安全響應中心的初衷；二、安全應急響應中心之威脅情報探索；三、論安全漏洞響應機制擴展；四、企業級未受權訪問漏洞防護實踐；五、淺談企業SQL注入漏洞的危害與防護；六、信息泄露之配置不當；七、XSS之攻擊與防護；八、電商和O2O行業詐騙那些事兒（上）；九、電商和O2O行業詐騙那些事兒（下）；十、CSRF的攻擊與防護；十一、帳戶體系安全管理探討；十二、遠程代碼執行漏洞的探討；1三、服務器安全管控的探討；1四、暢談端口安全配置；1五、談一談github泄露；1六、撞庫攻擊是場持久戰；1七、url重定向攻擊的探討；1八、聊聊弱口令的危害（一）;1九、聊聊弱口令的危害（二）；20、聊聊XML注入攻擊；2一、聊聊暴力破解；2二、談談上傳漏洞；2三、淺談內網滲透；2四、聊聊短信驗證碼安全；2五、深聊waf那些事兒（一）；2六、深聊waf那些事兒（二）。2七、聊聊app手工安全檢測。