交易支付漏洞的几种常见类型么？

支付漏洞的理解一般都是篡改价格。好比，一分钱买任何东西。少收款、企业收费产品被无偿使用，直接形成企业的经济损失。本期咱们来聊一聊交易支付逻辑漏洞。

先说说支付流程出现逻辑漏洞的严重性吧~ 哆啦A梦

支付漏洞的理解一般都是篡改价格。好比，一分钱买任何东西。少收款、企业收费产品被无偿使用，直接形成企业的经济损失。

豌豆妹

交易支付逻辑漏洞的呈现形式有哪些呢？

小丸子

支付成功后，实际价格与支付价格不相等。能够举一些案例以助于更好地理解。

例一，充值的时候，程序只判断订单有没有充值成功，但没有判断金额，例如：生成订单跳至支付宝页面，在原网站上点支付失败，这时能够修改订单，改为更大的金额（订单号没变），回到支付宝支付页面，支付成功。程序并无从新核对支付宝实际的金额，只是把订单改成已支付。

例二：使用余额支付，把数量改成负数，总金额也为负数，扣除余额时，负负得正，这时余额增长。

豌豆妹

那如何测试交易支付是否存在逻辑漏洞呢？

葫芦娃

一、在购买产品过程当中修改产品数量、价格；

二、在支付时修改总价格或者优惠价格；

三、订单生成后，编辑订单把A商品的价格改为B商品的价格，实现低价支付。

测试时，修改数量、单价，优惠价格参数为负数、小数，无限大，看是否能生成订单，能生产进入支付即说明存在逻辑漏洞了。

豌豆妹

能说说交易支付漏洞的几种常见类型么？

哆啦A梦

一、修改金额；

二、修改商品数量；

三、修改优惠金额；

四、修改数量、单价，优惠价格参数为负数、小数，无限大；

五、商品价格更改；

六、支付key泄露等。

实际安全中会有一些比较特别的，反正各类能改的参数都去尝试。个数*单价-优惠券个数*单价=总额，每一个值均可能存在问题，就看服务自身处理是否有问题了。

豌豆妹

能说说支付漏洞的修复方案么？

小新

一、在后端检查订单的每个值，包括支付状态；

二、校验价格、数量参数，好比产品数量只能为整数，并限制最大购买数量 ；

三、与第三方支付平台检查，实际支付的金额是否与订单金额一致；

四、另外，若是给用户退款，要使用原路、原订单退回。好比：退押金，按用户原支付订单原路退回；

五、MD5 加密、解密、2881064151数字签名及验证，这个能够有效的避免数据修改，重放攻击中的各类问题；

六、金额超过指定值，进行人工审核等。

豌豆妹

 

好哒~你们有其余感兴趣的话题，也能够在后台留言给本宝宝哟~感谢你们的持续关注！ 安全小课堂往期回顾：一、论安全响应中心的初衷；二、安全应急响应中心之威胁情报探索；三、论安全漏洞响应机制扩展；四、企业级未受权访问漏洞防护实践；五、浅谈企业SQL注入漏洞的危害与防护；六、信息泄露之配置不当；七、XSS之攻击与防护；八、电商和O2O行业诈骗那些事儿（上）；九、电商和O2O行业诈骗那些事儿（下）；十、CSRF的攻击与防护；十一、帐户体系安全管理探讨；十二、远程代码执行漏洞的探讨；1三、服务器安全管控的探讨；1四、畅谈端口安全配置；1五、谈一谈github泄露；1六、撞库攻击是场持久战；1七、url重定向攻击的探讨；1八、聊聊弱口令的危害（一）;1九、聊聊弱口令的危害（二）；20、聊聊XML注入攻击；2一、聊聊暴力破解；2二、谈谈上传漏洞；2三、浅谈内网渗透；2四、聊聊短信验证码安全；2五、深聊waf那些事儿（一）；2六、深聊waf那些事儿（二）。2七、聊聊app手工安全检测。