前几篇的网站安全检测的文章,介绍的都是跟验证码以及用户逻辑功能方面的安全测
试与防攻击方法,今天给大家深度的来剖析一下关于网站里含有支付接口的安全漏洞。许多
商城网站,以及微信支付网站,在线游戏平台,发卡商,棋牌等网站都含有支付功能,支付
安全是整个网站中,安全占比较高的,支付安全出了问题,带来的可是无法估量的损失。
支付接口的安全漏洞
经常出现的漏洞,是支付金额的篡改,比如一件商品卖10元,通过非法手段去修改商品的金
额,改成0.001元即可购买成功,就可以造成低价多卖的攻击情况,还有些可以修改商品的快
递费,以及优惠券的立减,金额的数值可以是负数,负数的时候,会造成用户的余额增多,
出现用户加钱漏洞。
额,改成0.001元即可购买成功,就可以造成低价多卖的攻击情况,还有些可以修改商品的快
递费,以及优惠券的立减,金额的数值可以是负数,负数的时候,会造成用户的余额增多,
出现用户加钱漏洞。
再一个是支付的逻辑漏洞,有些程序代码里对支付接口进行了判断与选择,比如对比sign的值
来进行判断用户的账号,有的是CMD5加密,可以破解CMD5的值来获取sign值,并篡改用户,
利用用户的账户金额去下单购买。支付上还存在着购买数量的篡改,比如数量1,那么通过GET
POST请求篡改,导致可以购买数量10,数量100,但是总金额还是数量1的价格。这就造成了
可以恶意的下单购买,给商城以及网站带来更大的损失。
来进行判断用户的账号,有的是CMD5加密,可以破解CMD5的值来获取sign值,并篡改用户,
利用用户的账户金额去下单购买。支付上还存在着购买数量的篡改,比如数量1,那么通过GET
POST请求篡改,导致可以购买数量10,数量100,但是总金额还是数量1的价格。这就造成了
可以恶意的下单购买,给商城以及网站带来更大的损失。
支付加密算法漏洞
很多支付的网站都调用的api接口,一般api接口对应的都是与网站数据库里的表段相关联的,很
多支付平台并没有把这个加密算法写好,导致攻击者可以利用绕过算法来进行攻击,大多数的
支付平台会在网站的前端进行JS安全过滤,限制一些非法的字符以及恶意的输入值。从而我们
从JS代码里去分析检测就会发现是怎么加密的,然后后推的逻辑方法去推算出支付平台的加密算
法,进行解密。
多支付平台并没有把这个加密算法写好,导致攻击者可以利用绕过算法来进行攻击,大多数的
支付平台会在网站的前端进行JS安全过滤,限制一些非法的字符以及恶意的输入值。从而我们
从JS代码里去分析检测就会发现是怎么加密的,然后后推的逻辑方法去推算出支付平台的加密算
法,进行解密。
网站支付接口的逻辑漏洞修复建议:
金额,以及数量,单价,快递费等支付时需要输入的一些数值,尽量的进行安全过滤与判断,严
格控制用户从GET、POST、Cookies等的提交方式去篡改数值,再一个支付的加密算法,尽肯
能在程序代码里,服务器端里做过滤。
格控制用户从GET、POST、Cookies等的提交方式去篡改数值,再一个支付的加密算法,尽肯
能在程序代码里,服务器端里做过滤。
