网站安全测试之支付漏洞检测与修复

简介: 前几篇的网站安全检测的文章,介绍的都是跟验证码以及用户逻辑功能方面的安全测试与防攻击方法,今天给大家深度的来剖析一下关于网站里含有支付接口的安全漏洞。许多商城网站,以及微信支付网站,在线游戏平台,发卡商,棋牌等网站都含有支付功能,支付安全是整个网站中,安全占比较高的,支付安全出了问题,带来的可是无法估量的损失。
前几篇的网站安全检测的文章,介绍的都是跟验证码以及用户逻辑功能方面的安全测

试与防攻击方法,今天给大家深度的来剖析一下关于网站里含有支付接口的安全漏洞。许多

商城网站,以及微信支付网站,在线游戏平台,发卡商,棋牌等网站都含有支付功能,支付

安全是整个网站中,安全占比较高的,支付安全出了问题,带来的可是无法估量的损失。
 
 
支付接口的安全漏洞
 

 
经常出现的漏洞,是支付金额的篡改,比如一件商品卖10元,通过非法手段去修改商品的金

额,改成0.001元即可购买成功,就可以造成低价多卖的攻击情况,还有些可以修改商品的快

递费,以及优惠券的立减,金额的数值可以是负数,负数的时候,会造成用户的余额增多,

出现用户加钱漏洞。
 
 
再一个是支付的逻辑漏洞,有些程序代码里对支付接口进行了判断与选择,比如对比sign的值

来进行判断用户的账号,有的是CMD5加密,可以破解CMD5的值来获取sign值,并篡改用户,

利用用户的账户金额去下单购买。支付上还存在着购买数量的篡改,比如数量1,那么通过GET

POST请求篡改,导致可以购买数量10,数量100,但是总金额还是数量1的价格。这就造成了

可以恶意的下单购买,给商城以及网站带来更大的损失。
 
 
支付加密算法漏洞
 
很多支付的网站都调用的api接口,一般api接口对应的都是与网站数据库里的表段相关联的,很

多支付平台并没有把这个加密算法写好,导致攻击者可以利用绕过算法来进行攻击,大多数的

支付平台会在网站的前端进行JS安全过滤,限制一些非法的字符以及恶意的输入值。从而我们

从JS代码里去分析检测就会发现是怎么加密的,然后后推的逻辑方法去推算出支付平台的加密算

法,进行解密。
 
 
网站支付接口的逻辑漏洞修复建议:
 
 
金额,以及数量,单价,快递费等支付时需要输入的一些数值,尽量的进行安全过滤与判断,严

格控制用户从GET、POST、Cookies等的提交方式去篡改数值,再一个支付的加密算法,尽肯

能在程序代码里,服务器端里做过滤。
专注于安全领域 解决网站安全 解决网站被黑 网站被挂马 网站被篡改 网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.
相关文章
|
2月前
|
数据采集 机器学习/深度学习 大数据
行为检测代码(一):超详细介绍C3D架构训练+测试步骤
这篇文章详细介绍了C3D架构在行为检测领域的应用,包括训练和测试步骤,使用UCF101数据集进行演示。
51 1
行为检测代码(一):超详细介绍C3D架构训练+测试步骤
|
2月前
|
机器学习/深度学习 JSON 算法
实例分割笔记(一): 使用YOLOv5-Seg对图像进行分割检测完整版(从自定义数据集到测试验证的完整流程)
本文详细介绍了使用YOLOv5-Seg模型进行图像分割的完整流程,包括图像分割的基础知识、YOLOv5-Seg模型的特点、环境搭建、数据集准备、模型训练、验证、测试以及评价指标。通过实例代码,指导读者从自定义数据集开始,直至模型的测试验证,适合深度学习领域的研究者和开发者参考。
555 3
实例分割笔记(一): 使用YOLOv5-Seg对图像进行分割检测完整版(从自定义数据集到测试验证的完整流程)
|
2月前
|
安全 程序员 网络安全
Kali渗透测试:对软件的溢出漏洞进行测试
Kali渗透测试:对软件的溢出漏洞进行测试
|
3月前
|
安全 Java 应用服务中间件
渗透测试-JBoss 5.x/6.x反序列化漏洞
渗透测试-JBoss 5.x/6.x反序列化漏洞
54 14
|
2月前
|
安全 网络协议 Linux
Kali渗透测试:使用Armitage针对漏洞进行攻击
Kali渗透测试:使用Armitage针对漏洞进行攻击
|
3月前
|
安全 网络安全 数据安全/隐私保护
渗透测试-Openssl心脏出血漏洞复现
渗透测试-Openssl心脏出血漏洞复现
125 7
|
3月前
|
人工智能 计算机视觉
AI计算机视觉笔记十五:编写检测的yolov5测试代码
该文为原创文章,如需转载,请注明出处。本文作者在成功运行 `detect.py` 后,因代码难以理解而编写了一个简易测试程序,用于加载YOLOv5模型并检测图像中的对象,特别是“人”类目标。代码实现了从摄像头或图片读取帧、进行颜色转换,并利用YOLOv5进行推理,最后将检测框和置信度绘制在输出图像上,并保存为 `result.jpg`。如果缺少某些模块,可使用 `pip install` 安装。如涉及版权问题或需获取完整代码,请联系作者。
|
3月前
|
安全 测试技术 Linux
CentOS7 安装vulhub漏洞测试环境
CentOS7 安装vulhub漏洞测试环境
|
17天前
|
安全 前端开发 测试技术
如何选择合适的自动化安全测试工具
选择合适的自动化安全测试工具需考虑多个因素,包括项目需求、测试目标、系统类型和技术栈,工具的功能特性、市场评价、成本和许可,以及集成性、误报率、社区支持、易用性和安全性。综合评估这些因素,可确保所选工具满足项目需求和团队能力。
|
7月前
|
安全 网络协议 测试技术
安全测试工具之nmap使用指南
【2月更文挑战第7天】安全测试工具之nmap使用指南
280 4
安全测试工具之nmap使用指南