商品支付,支付逻辑漏洞安全(niushop) | 您所在的位置:网站首页 › 哪些购物软件新用户0元购 › 商品支付,支付逻辑漏洞安全(niushop) |
一、什么是支付逻辑安全
支付逻辑漏洞是指系统的支付流程中存在业务逻辑层面的漏洞 二、常见支付流程:选择商品和数量——选择支付及配送方式——生成订单编号——订单支付选择——完成支付 如:最常见的支付逻辑漏洞通常是由于服务器端没有对客户端请求数据中的金额、数量等敏感信息进行效验导致。一般漏洞产生在电子商务类应用中。 三、支付逻辑漏洞一般分为四类:1.支付过程中可以修改支付金额 2.可以将订单中的商品数量修改为负值 3.请求重放导致 4.其他问题(程序异常,其他参数修改导致问题等) 其他支付问题补充: 修改支付状态、修改附属值(优惠券积分等)、修改支付接口、替换多个订单、重复支付等。 参考:https://www.secpulse.com/archives/67080.html 四、测试方法与修复方法支付逻辑漏洞之修改订单数量: 1、登录网站,选择购买一个商品并抓取数据包 2、找到其中代表商品数量的参数,将参数的值修改为负数 3、发送数据包,生成订单,观察订单是否有效,是否能进入支付页面 4、完成支付 修复方法: 1、在请求数据中对对涉及金额、数量等敏感信息进行加密,保证加密算法不可猜解。并在服务器端对其进行校验。 2、支付交易请求数据中加入tbken,防止重放攻击。 五、案例一——niushop商城CMS支付逻辑漏洞(1元钱购买商品)在我的资源中下载: niushop存有支付逻辑漏洞版本源码,下载后使用phpstudy搭建,搭建完成如下图所示,注册一个账号 ceshi/123456 在我的资源中下载: damiCMS含有支付逻辑漏洞版本的源码,下载后使用phpstudy搭建,搭建完成如下图所示 1、web安全工具、渗透测试工具 2、存在漏洞的网站源码与代码审计+漏洞复现教程、 3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频 4、应急响应真实案例复现靶场与应急响应教程 收集整理在知识星球,可加入知识星球进行查看。 |
CopyRight 2018-2019 实验室设备网 版权所有 |