支付漏洞的三种常见类型.docx

支付漏洞的三种常见类型支付漏洞一般可以分为三类：一是在支付过程中直接发送含有需支付金额的数据包；二是没有对购买数量进行限制；三是程序的异常处理一：支付过程中直接发送含有需支付金额的数据包（常见）这种案例非常常见，主要针对支付宝等需要第三方支付的案例开发人员往往会为了方便，直接在支 付的关键步骤数据包中直接传递需要支付的金额，这种，只需要开个Fiddler2，甚至是直接通过审查 元素就可以修改到需要支付的金额修复方案：不直接在数据包中加入需要金额和数量等敏感数值以支付宝充值漏洞为例，短信都是以套餐的形式出售的，可以发送套餐的ID，然后由服务器来生 产金额和数量，然后直接生成KEY走支付宝二：没有对购买数量进行限制（常见）这种案例也比较常见，由于一个错误的数量，所以就导致了我们的账户上多了30 元~~~~ 这种的危害比上一个就要小一些了，因为只是站内的货币，具体危害还要按网站的规模大小以及货币 的对人民币的比率来区分但如果是支付宝之类的，嘿嘿，你懂的修复方案：严格控制购买数量的大小，不允许数量为负数，控制总支付金额是一个正常的数三：程序的异常处理程序的异常处理，就是指支付的数据包异常的程序的错误处理。

这种异常可以是数据与KEY不符，支 付的金额有错误，购买的数量不正确等等程序的异常处理出现的原因主要是开发人员对出现异常后 的处理不当造成的我们以115网盘绕过为例，问题出现在开通VIP的过程中q是开通的月份，也就是数量这里我们将其改成了9999999999999999999999999999999999999999999999999999999999999999999999999999999999（总之很多个9 啦），程序的异常处理直接将应支付金额变为了0如上所示，我们之需要输入一个安全密码，就可以使用0 个枫叶来支付这笔订单了~ 微号的问题也同属一类，将金额修改，错误，然后直接绕过了支付过程，直接支付成功~ 这类问题的出现多数是程序员的大意造成的，没有对异常数据进行很好的处理，导致了问题的产生修复方案：根据网站的需要来调整异常处理的方案，发现异常，可以直接报错，拒绝继续运行。