Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

网站APP都存在哪些支付逻辑漏洞?



     伴随着现在时代的网友越来越习惯于网络购物,也大量涌现出电子购物网站,线上平台交易等

。在其中毫无疑问要涉及到线上支付的步骤,而这里边也是有许多买东西支付的逻辑性。因为这

里涉及金钱,假如网站逻辑设计不善,很有可能导致廉价或是0元购买产品等很严重的系统漏洞。
 
 
 
支付逻辑漏洞归类:
 
 
这类系统漏洞应该是支付系统漏洞中最普遍的,关键对于支付宝钱包等需要第三方支付的实例。

开发者通常会为了便捷,立即在支付的关键因素数据包中立即传送必须支付的额度。而这类额度

后端开发没有做校检,传送过程中也沒有做签字,造成 能够 随便伪造额度递交。只需要在支付

的过程中用抓包工具去抓包发掘有额度的参数那里去替换成任意值就可以。
 
 
沒有对选购总数开展限制
 
这类实例也较为普遍,造成的原因是开发者沒有对购买商品的总数主要参数开展严苛的限定。这

类一样是总数的主要参数没有做签字证书效验,在抓包软件后造成可随便替换总数,经典的替换

方法便是改为负值。当选购的总数是一个负值时,总金额的优化算法依然是"选购总数x价格=原

价"。因此那样便会造成有一个负值的需支付额度。若支付完成,则将会造成选购来到一个负值

总数的商品,也是有将会买东西网站会退还相对的积分/点券到你的帐户上。可是,这类状况不

太可能产生在通过支付宝付款的订单信息中,由于显而易见支付宝钱包是不兼容一个负值额度

的订单信息,因此这类状况大部分产生在一个有网站内部数字货币的网站。
 
 
选购商品编号伪造
 
比如产品积分换购处,一百个积分只有换商品编号为001的低价钱产品,1000个积分可以换商

品编号005的高价钱产品,再用100积分换产品的情况下抓包软件把换产品的序号从001替换为

005,用低积分换取高积分产品。
 
 
支付逻辑顺序实行缺点
 
一部分网站的支付逻辑性可能是先A过程后B过程随后C过程最终D过程客户操纵着她们给程序

运行推送的每一个请求,因而可以依照任何顺序开展浏览。可是,假如客户立即从B直接进入

了D过程,就绕开了C过程。假如C是支付过程,那麼客户就绕开了支付过程而买来到一件产品

。假如C是认证过程,便会绕开认证直接进入网站程序流程了。
 
 
请求重放
 
购买商品取得成功后,播放选购取得成功的http请求,能够 使选购的产品一直增加。选购取得

成功后,会有一个从金融机构向商家网站自动跳转的过程,假如这一过程不断的播放,有可能

造成 产品的不断选购和提升,可是客户不用支付大量的钱财。
 
 
 
程序流程的异常处理较为罕见,但是也是有实例的。程序流程的异常处理,是指支付的数据包

出现异常返回的错误处理。这种异常可以是数据信息和密钥不符,付款额不正确,购买总数不

正确。程序流程的异常处理出现的缘故主要是开发者对发现异常后的疏忽大意导致的。当然支

付逻辑漏洞不仅上边例举的这些种类,但最普遍的支付系统漏洞为直接替换额度,替换购买商

品总数及其篡改商品编号这三种。
 
 
支付漏洞的防护措施,根据该试验掌握支付逻辑漏洞,把握普遍的支付系统漏洞基本原理及其

漏洞利用运用和系统漏洞安全防护,对于支付的参数金额数量以及类型做判断,比如金额的类

型只能属于正整数,如果对代码漏洞不了解的话可以交给专业的网站安全公司来处理解决,推

荐SINESAFE,鹰盾安全,绿盟,等这些安全公司都是比较厉害的。
分享: