28、支付漏洞
漏洞 支付 28
2023-09-27 14:29:29 时间
快捷支付原理
商户网站接收支付结果有两种方式
浏览器跳转
基于用户访问的浏览器,如果用户在银行页面支付成功后,直接关闭了页面,并未等待银行跳转到支付结果页面,那么商户的网站就收不到支付结果的通知,导致支付结果难以处理。而且浏览器端数据容易被篡改而降低安全性
服务器端异步通知
该方法是支付公司服务器后台直接向用户指定的异步通知URL发送参数,采用POST/GET的方式
商户网站接收异步参数的URL对应的程序中,要对支付公司返回的支付结果进行签名验证,成功后进行支付逻辑处理。如验证金额、订单信息是否与发起支付时一致,验证正常则对订单进行状态处理或为用户进行网站内入账等
常见支付漏洞
- 修改支付的价格(支付三部曲–订购、订单、付款)
- 修改支付状态
- 修改订单数量
- 修改复数值(优惠卷)
支付漏洞挖掘
- 找到关键的数据包
- 分析数据包
- 不按套路出牌
- PC端、WAP端、APP
防御
- 后端检查每一项的值,包括支付状态
- 校验价格、数量参数,比如产品数量只能为正整数,并限制购买数量
- 与第三方支付平台检查,实际支付的金额是否与订单金额一致
- 支付参数进行MD5 加密、解密、数字签名及验证,这个可以有效的避免数据修改、重发攻击中的各种问题
- 金额超过阈值,进行人工审核
相关文章
- 针对移动手机漏洞与安全支付现状分析
- DT科技评论第40期:“影子经纪人”发布漏洞订阅服务,下一次的全球安全事件会在近期接踵而至吗?
- 网络安全系列-I: 基本概念之事件型漏洞、通用型漏洞、渗透测试
- Apache Tomcat(CVE-2019-0232)远程代码执行漏洞复现
- web渗透测试----6、目录遍历漏洞
- 代码审计——常见漏洞审计之php危险函数总结
- 【更新:POC公开】F5 多个严重漏洞通告
- Windows Installer 本地权限提升漏洞通告
- 漏洞情报 | Google Chrome 发布安全更新,修复多个高危漏洞
- 【漏洞通告】Apache Kylin 远程命令执行漏洞(CVE-2020-1956)
- 系统存在漏洞 iOS 9竟然可以这样隐藏应用
- fastjson1.2.80反序列化漏洞及POC代码及规避方案
- WEB安全基础 - - -漏洞扫描器
- 苹果修复iOS严重漏洞,黑客可从设备窃取cookie
- 微软对外披露两个0day漏洞详情
- 路由器漏洞复现分析第三弹:DVRF INTRO题目分析
- 黑莓推送最新Android补丁 修复重要漏洞