Web安全 支付逻辑漏洞（不用钱 买任何东西.（也能让商家倒贴钱给我们.））

大家好，又见面了，我是你们的朋友全栈君。

💛我的镜头里装得下山川湖海💚，💛但我的眼里只看得到你💚

🍪目录：

🌲支付逻辑漏洞的概括：

🌲免责声明：

🌲支付逻辑漏洞一般可以分为四类：

🌲支付逻辑漏洞的危害：

🌲靶场：

🌲支付逻辑漏洞的测试方法：

（1）登录网站，选择购买一个商品并抓取数据包.（用 Burp 工具.）

（2）找到其中代表商品数量的参数，将参数的值修改为零.（用 Burp 工具.）

（3）发送数据包，生成订单.（ 查看能否输出订单. ）

（4）完成支付.（说明：存在支付漏洞.）

🌲支付逻辑漏洞的修复方法：

🌲支付逻辑漏洞的概括： 🌾支付逻辑漏洞：是系统的支付流程中存在业务逻辑层面的漏洞. 🌾支付逻辑漏洞：通常为选择商品和数量—选择支付及配送方式—生成订单—订单支付—完成支付. 🌾常见的支付逻辑漏洞：通常是由于服务器端没有对客户端请求数据中的金额、数量等敏感信息作校验导致. 🌾一般在电子商务网站上容易出现此类漏洞.

🌲免责声明： 严禁利用本文章中所提到的虚拟机和技术进行非法攻击，否则后果自负，上传者不承担任何责任。

🌲支付逻辑漏洞一般可以分为四类： （1）支付过程中可以修改支付金额. （2）可以将订单中的商品数量修改为负值. （3）请求重放. （4）其他问题（程序异常、其他参数修改导致的问题等）

🌲支付逻辑漏洞的危害： 任意金额购买商品，甚至可以导致购买商品后系统给自己账户充值.

🌲靶场： 大米CMS靶场：链接：https://pan.baidu.com/s/1v4s8DSTiV-A1QXE4mV49FA 提取码：tian

🌲支付逻辑漏洞的测试方法：

（1）登录网站，选择购买一个商品并抓取数据包.（用 Burp 工具.）

Web安全 支付逻辑漏洞（不用钱 买任何东西.（也能让商家倒贴钱给我们.））

Web安全 支付逻辑漏洞（不用钱 买任何东西.（也能让商家倒贴钱给我们.））

（2）找到其中代表商品数量的参数，将参数的值修改为零.（用 Burp 工具.）

Web安全 支付逻辑漏洞（不用钱 买任何东西.（也能让商家倒贴钱给我们.））

（3）发送数据包，生成订单.（ 查看能否输出订单. ）

Web安全 支付逻辑漏洞（不用钱 买任何东西.（也能让商家倒贴钱给我们.））

（4）完成支付.（说明：存在支付漏洞.）

Web安全 支付逻辑漏洞（不用钱 买任何东西.（也能让商家倒贴钱给我们.））

🌲支付逻辑漏洞的修复方法：

（1）在请求数据中对对涉及金额、数量等敏感信息进行加密，保证加密算法不可猜解。并在服务器端对其进行校验.

（2）支付交易请求数据中加入token，防止重放攻击.

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/137378.html原文链接：https://javaforall.cn