本文内容:
- 快捷支付原理
- 常见支付漏洞
- 支付漏洞如何挖掘
- 防御方法
1,快捷支付原理:
商户网站接入支付结果又两种方式:
一、通过浏览器进行跳转通知:
基于用户访问的浏览器,如果用户在银行页面支付成功后,直接关闭了页面,并未等待银行跳转到支付结果页面,那么商户网站就收不到支付结果的通知,导致支付结果难以处理,而且浏览器端数据很容易被篡改而降低安全性。
二、服务器端异步通知:
该方式是支付公司服务器后台直接向用户指定的异步通知URL发送参数,
采用POST或GET的方式,商户网站接受异步参数的URL对应的程序中,要支付公司返回的支付结果进行签名验证,
成功后进行支付逻辑处理,如验证金额,订单信息是否与发起支付的一致,验证正常则对订单进行状态处理或为用户进行网站内入账等。
注意:支付漏洞并不需要代码审计。
2,常见支付漏洞:
1.修改支付价格:
支付三部曲:订购、订单、付款。
三个步骤中的随便一个进行修改价格测试,如果前面两步有验证机制,那么你可在最后一步付款时进行抓包尝试修改金额,如果没有在最后一步做好检验,那么问题就会存在。
其修改的金额值可以尝试小数目或尝试复数。
2.修改支付状态:
订单状态----未完成[傻傻分不清]
A订单--0001完成-----B订单---0002未完成
付款时尝试把订单B的单号给订单A
3.修改订单数量:
一个笔1块,0支,或者没-1支,不就等于免费了吗。
4.修改附属性质:
比如优惠券。
5.越权支付:
存在user=id(123)这种传参是,尝试改改id,尝试用别人的钱包买自己的包包。
6.无限制试用:
比如试用的参数为2正常购买为1。
那么我们购买参数2(试用),会发生什么呢?
3,支付漏洞如何挖掘:
1.找到关键的数据包:
可能一个支付操作有三四个数据包,我们要对数据包进行挑选。
2.分析数据包:
支付数据包中包含有很多的敏感信息[账号、金额、余额、优惠],要尝试对数据包中的各个参数,进行分析。
3.不要按套路出牌:
多去想想开发者没有想到的地方。
4.PC端尝试过,WAP端、APP也试试。
4,防御方法:
1.后端检查每一项值,报货支付状态。
2.检验价格、数量参数,比如产品数量只能为正整数,并显示购买数量。
3.与第三方支付平台价差,实际支付的金额是否与订单金额一致。
4.支付参数进行MD5加密、解密,数字签名及验证,这个可以有效避免数据修改,重放攻击中的各种问题。
5.金额超过阀值,进行人工审核。