网站安全测试之支付漏洞检测与修复
前几篇的网站安全检测的文章,介绍的都是跟验证码以及用户逻辑功能方面的安全测
试与防攻击方法,今天给大家深度的来剖析一下关于网站里含有支付接口的安全漏洞。许多
商城网站,以及微信支付网站,在线游戏平台,发卡商,棋牌等网站都含有支付功能,支付
安全是整个网站中,安全占比较高的,支付安全出了问题,带来的可是无法估量的损失。
试与防攻击方法,今天给大家深度的来剖析一下关于网站里含有支付接口的安全漏洞。许多
商城网站,以及微信支付网站,在线游戏平台,发卡商,棋牌等网站都含有支付功能,支付
安全是整个网站中,安全占比较高的,支付安全出了问题,带来的可是无法估量的损失。
支付接口的安全漏洞
经常出现的漏洞,是支付金额的篡改,比如一件商品卖10元,通过非法手段去修改商品的金
额,改成0.001元即可购买成功,就可以造成低价多卖的攻击情况,还有些可以修改商品的快
递费,以及优惠券的立减,金额的数值可以是负数,负数的时候,会造成用户的余额增多,
出现用户加钱漏洞。
额,改成0.001元即可购买成功,就可以造成低价多卖的攻击情况,还有些可以修改商品的快
递费,以及优惠券的立减,金额的数值可以是负数,负数的时候,会造成用户的余额增多,
出现用户加钱漏洞。
再一个是支付的逻辑漏洞,有些程序代码里对支付接口进行了判断与选择,比如对比sign的值
来进行判断用户的账号,有的是CMD5加密,可以**CMD5的值来获取sign值,并篡改用户,
利用用户的账户金额去下单购买。支付上还存在着购买数量的篡改,比如数量1,那么通过GET
POST请求篡改,导致可以购买数量10,数量100,但是总金额还是数量1的价格。这就造成了
可以恶意的下单购买,给商城以及网站带来更大的损失。
来进行判断用户的账号,有的是CMD5加密,可以**CMD5的值来获取sign值,并篡改用户,
利用用户的账户金额去下单购买。支付上还存在着购买数量的篡改,比如数量1,那么通过GET
POST请求篡改,导致可以购买数量10,数量100,但是总金额还是数量1的价格。这就造成了
可以恶意的下单购买,给商城以及网站带来更大的损失。
支付加密算法漏洞
很多支付的网站都调用的api接口,一般api接口对应的都是与网站数据库里的表段相关联的,很
多支付平台并没有把这个加密算法写好,导致攻击者可以利用绕过算法来进行攻击,大多数的
支付平台会在网站的前端进行JS安全过滤,限制一些非法的字符以及恶意的输入值。从而我们
从JS代码里去分析检测就会发现是怎么加密的,然后后推的逻辑方法去推算出支付平台的加密算
法,进行解密。
多支付平台并没有把这个加密算法写好,导致攻击者可以利用绕过算法来进行攻击,大多数的
支付平台会在网站的前端进行JS安全过滤,限制一些非法的字符以及恶意的输入值。从而我们
从JS代码里去分析检测就会发现是怎么加密的,然后后推的逻辑方法去推算出支付平台的加密算
法,进行解密。
网站支付接口的逻辑漏洞修复建议:
金额,以及数量,单价,快递费等支付时需要输入的一些数值,尽量的进行安全过滤与判断,严
格控制用户从GET、POST、Cookies等的提交方式去篡改数值,再一个支付的加密算法,尽肯
能在程序代码里,服务器端里做过滤。
专注于安全领域 解决网站安全 解决网站被黑 网站被挂马 网站被篡改
网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.
格控制用户从GET、POST、Cookies等的提交方式去篡改数值,再一个支付的加密算法,尽肯
能在程序代码里,服务器端里做过滤。