支付漏洞常用姿势

在线购物时,常见的支付漏洞测试方法
已邀请:

Mosuan - 我们因看不见而恐惧无形之物,因看不见而敬畏无形之物。

赞同来自: kakaxi

p1rate - 断剑骑士

赞同来自: kakaxi

修复建议:
1、在后端检查订单的每一个值,包括支付状态;

2、校验价格、数量参数,比如产品数量只能为整数,并限制最大购买数量 ;

3、与第三方支付平台检查,实际支付的金额是否与订单金额一致;

4、另外,如果给用户退款,要使用原路、原订单退回。比如:退押金,按用户原支付订单原路退回;

5、MD5 加密、解密、数字签名及验证,这个可以有效的避免数据修改,重放攻击中的各种问题;

6、金额超过指定值,进行人工审核等。

p1rate - 断剑骑士

赞同来自:

1 改变支付金额数
2 修改商品数量
3 参数重放

求别的姿势

要回复问题请先登录注册