eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

網站安全測試之支付漏洞檢測與修復



           前幾篇的網站安全檢測的文章,介紹的都是跟驗證碼以及用戶邏輯功能方面的安全測

試與防攻擊方法,今天給大家深度的來剖析一下關於網站裡含有支付接口
的安全漏洞。許多

商城網站,以及微信支付網站,在線遊戲平台,發卡商,棋牌等
網站都含有支付功能,支付

安全是整個網站中,安全佔比較高的,支付安全出了問
題,帶來的可是無法估量的損失。
 
 
支付接口的安全漏洞
 

 
經常出現的漏洞,是支付金額的篡改,比如一件商品賣10元,通過非法手段去修改商品的金

額,改成0.001元即可購買成功,就可以造成低價多賣的攻擊情況,還有
些可以修改商品的快

遞費,以及優惠券的立減,金額的數值可以是負數,負數的時
候,會造成用戶的餘額增多,

出現用戶加錢漏洞。

 
 
再一個是支付的邏輯漏洞,有些程序代碼裡對支付接口進行了判斷與選擇,比如對比sign的值

來進行判斷用戶的賬號,有的是CMD5加密,可以破解CMD5的值來獲取
sign值,並篡改用戶,

利用用戶的賬戶金額去下單購買。
支付上還存在著購買數量的篡改,比如數量1,那麼通過GET

POST請求篡改,導致
可以購買數量10,數量100,但是總金額還是數量1的價格。這就造成了

可以惡意的
下單購買,給商城以及網站帶來更大的損失。
 
 
支付加密算法漏洞
 
很多支付的網站都調用的api接口,一般api接口對應的都是與網站數據庫裡的表段相關聯的,很

多支付平台並沒有把這個加密算法寫好,導致攻擊者可以利用繞過算
法來進行攻擊,大多數的

支付平台會在網站的前端進行JS安全過濾,限制一些非法
的字符以及惡意的輸入值。從而我們

從JS代碼裡去分析檢測就會發現是怎麼加密的
,然後後推的邏輯方法去推算出支付平台的加密算

法,進行解密。
 
 
網站支付接口的邏輯漏洞修復建議:
 
 
金額,以及數量,單價,快遞費等支付時需要輸入的一些數值,盡量的進行安全過濾與判斷,嚴

格控制用戶從GET、POST、Cookies等的提交方式去篡改數值,再一個
支付的加密算法,盡肯

能在程序代碼裡,主機端裡做過濾。
分享: