ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全文章 → 渗透测试之支付漏洞检测与修复

渗透测试之支付漏洞检测与修复

时间:2018-05-20 15:25:05人气:作者:本站作者我要评论

渗透测试之支付漏洞检测与修复

支付接口的安全漏洞

经常出现的漏洞,是支付金额的篡改,比如一件商品卖10元,通过非法手段去修改商品的金

额,改成0.001元即可购买成功,就可以造成低价多卖的攻击情况,还有些可以修改商品的快

递费,以及优惠券的立减,金额的数值可以是负数,负数的时候,会造成用户的余额增多,

出现用户加钱漏洞。

再一个是支付的逻辑漏洞,有些程序代码里对支付接口进行了判断与选择,比如对比sign的值

来进行判断用户的账号,有的是CMD5加密,可以破解CMD5的值来获取sign值,并篡改用户,

利用用户的账户金额去下单购买。支付上还存在着购买数量的篡改,比如数量1,那么通过GET

POST请求篡改,导致可以购买数量10,数量100,但是总金额还是数量1的价格。这就造成了

可以恶意的下单购买,给商城以及网站带来更大的损失。

支付加密算法漏洞

很多支付的网站都调用的api接口,一般api接口对应的都是与网站数据库里的表段相关联的,很

多支付平台并没有把这个加密算法写好,导致攻击者可以利用绕过算法来进行攻击,大多数的

支付平台会在网站的前端进行JS安全过滤,限制一些非法的字符以及恶意的输入值。从而我们

从JS代码里去分析检测就会发现是怎么加密的,然后后推的逻辑方法去推算出支付平台的加密算

法,进行解密。

网站支付接口的逻辑漏洞修复建议:

金额,以及数量,单价,快递费等支付时需要输入的一些数值,尽量的进行安全过滤与判断,严

格控制用户从GET、POST、Cookies等的提交方式去篡改数值,再一个支付的加密算法,尽肯

能在程序代码里,服务器端里做过滤。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网