快捷支付原理:商户网站接入支付结果有两种方式1.浏览器跳转(不可靠)2. 服务器端异步通知(常见)
支付漏洞:属于逻辑漏洞,挖这类漏洞有发散思维,往往有事半功倍的后果。
常见漏洞:1、修改支付的价格
2、修改支付状态(创建订单时和支付订单时的数据包改了一下,做了一个商品的替换,而服务器没有校验支付订单支付的是哪一个商品,商品名与金额不匹配)
3.修改订单数量(少见)修复:在数量上加上绝对值。
4.修改附属值 比如说优惠券、积分等
越权支付:存在user=id(123),这种传参时,尝试改改id,用别人的钱来买自己的商品。
无限制试用:比如试用的参数为2,正常购买的参数为1
那么我们就购买参数2(试用)
如何挖掘
找到关键的数据包:可能一个支付操作有三四个数据包,我们要对数据包进行挑选。
分析数据包
支付数据包中会包含很多的敏感信息(账号,金额,余额,优惠券等)尝试对数据包中的各个参数进行分析。
不按套路出牌
多去想想开发者没有想到的地方
pc端尝试过,wap也看看,app也试试
防御方法
1、后端检测每一项值,包括支付状态。
2.校验价格、数量参数 ,比如产品数量只能为正整数。并限制购买数量
3.与第三方支付 平台检查,实际支付的金额是否与订单金额一致。
4.支付参数进行MD5加密、解密、数字签名及验证,这个可以有效的防止数据修改,重放攻击(在支付成功时不断放数据包)中的各种问题。
5.金额超过阈值,进行人工审核。