0
点赞
收藏
分享

微信扫一扫

Web安全 支付逻辑漏洞(不用钱 买任何东西.(也能让商家倒贴钱给我们.))

💛我的镜头里装得下山川湖海💚,💛但我的眼里只看得到你💚

🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴🌴

         

🍪目录:

         🌲支付逻辑漏洞的概括:

         🌲免责声明:

🌲支付逻辑漏洞一般可以分为四类:

🌲支付逻辑漏洞的危害:

🌲靶场:

🌲支付逻辑漏洞的测试方法:

        🍉(1)登录网站,选择购买一个商品并抓取数据包.(用 Burp 工具.)

        🍉(2)找到其中代表商品数量的参数,将参数的值修改为零.(用 Burp 工具.)

        🍉(3)发送数据包,生成订单.( 查看能否输出订单. )

        🍉(4)完成支付.(说明:存在支付漏洞.)

🌲支付逻辑漏洞的修复方法:

        🍉(1)在请求数据中对对涉及金额、数量等敏感信息进行加密,保证加密算法不可猜解。并在服务器端对其进行校验.

        🍉(2)支付交易请求数据中加入token,防止重放攻击.


           

        

     

       

     

🌲支付逻辑漏洞的测试方法:

🍉(1)登录网站,选择购买一个商品并抓取数据包.(用 Burp 工具.

        

🍉(2)找到其中代表商品数量的参数,将参数的值修改为零.(用 Burp 工具.

       

🍉(3)发送数据包,生成订单.( 查看能否输出订单. 

      

🍉(4)完成支付.(说明:存在支付漏洞.

         

           

🌲支付逻辑漏洞的修复方法:

🍉(1)在请求数据中对对涉及金额、数量等敏感信息进行加密,保证加密算法不可猜解。并在服务器端对其进行校验.

🍉(2)支付交易请求数据中加入token,防止重放攻击.

     

     

    

笔记学习于:【网易云】web安全工程师之业务安全逻辑漏洞原理及测试方法讲解_哔哩哔哩_bilibili

举报
0 条评论