【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《支付漏洞的三种常见类型》,欢迎阅读!
支付漏洞的三种常见类型
支付漏洞一般可以分为三类:
一是在支付过程中直接发送含有需支付金额的数据包; 二是没有对购买数量进行限制; 三是程序的异常处理。
一:支付过程中直接发送含有需支付金额的数据包(常见)
这种案例非常常见,主要针对支付宝等需要第三方支付的案例。开发人员往往会为了方便,直接在支付的关键步骤数据包中直接传递需要支付的金额,这种,只需要开个Fiddler2,甚至是直接通过审查元素就可以修改到需要支付的金额。
修复方案:不直接在数据包中加入需要金额和数量等敏感数值。
以支付宝手机充值漏洞为例,短信都是以套餐的形式出售的,可以发送套餐的ID,然后由服务器来生产金额和数量,然后直接生成KEY走支付宝。
二:没有对购买数量进行限制(常见)
这种案例也比较常见,由于一个错误的数量,所以就导致了我们的账户上多了30元~~~~ 这种的危害比上一个就要小一些了,因为只是站内的货币,具体危害还要按网站的规模大小以及货币的对人民币的比率来区分。但如果是支付宝之类的,嘿嘿,你懂的。
修复方案:严格控制购买数量的大小,不允许数量为负数,控制总支付金额是一个正常的数。
三:程序的异常处理
程序的异常处理,就是指支付的数据包异常的程序的错误处理。这种异常可以是数据与KEY不符,支付的金额有错误,购买的数量不正确等等。程序的异常处理出现的原因主要是开发人员对出现异常后的处理不当造成的。
我们以115网盘绕过为例,问题出现在开通VIP的过程中。 q是开通的月份,也就是数量。这里我
们将其改成了
9999999999999999999999999999999999999999999999999999999999999999999999999999999999(总之很多个9啦),程序的异常处理直接将应支付金额变为了0 如上所示,我们之需要输入一个安全密码,就可以使用0个枫叶来支付这笔订单了~ 微号的问题也同属一类,将金额修改,错误,然后直接绕过了支付过程,直接支付成功~
这类问题的出现多数是程序员的大意造成的,没有对异常数据进行很好的处理,导致了问题的产生。
修复方案:根据网站的需要来调整异常处理的方案,发现异常,可以直接报错,拒绝继续运行。
本文来源:https://www.wddqxz.cn/54b81fe4294ac850ad02de80d4d8d15abe230095.html
2022-07-11
