记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

优个网存在支付逻辑漏洞(1分钱支付)

2015-04-27 05:55

诶,前天在优个网买了套乒乓球装备,花了700多块大洋!第一次用优个网,感觉这网站用来买体育器材还不错,客服态度蛮好的。然后搜了搜这网站,竟然还是国内最大的体育器材电商。但是整个购买过程中,一直感觉这网站的安全做的很水,所以今天就专门去再看看有没有啥安全问题。

1 这里随便选了个商品作为演示,未真正支付利用。


 

1.png





2 正常下单程序去下单,然后支付,直到这一步。


 

2.png





3 然后发现付款,其实就是访问链接



http://www.yoger.com.cn/API_pay/alipay_direct/alipayto.asp?orderID=po******_****&paySum=1090



4 发现前面的orderID就是订单号,后面的paySum就是支付的金额总和。



那么果断修改下再访问,把1090改成0.01。



http://www.yoger.com.cn/API_pay/alipay_direct/alipayto.asp?orderID=po******_****&paySum=0.01



5 呵呵,这样就可以一分钱购买了。


 

3.png


 

1 可以看到上图中,已经是跳转到了支付宝的支付页面了,已经是支付宝的域名了,所以优个的服务器已经无法控制了,这里我就不去支付了。



2 然后还有个问题需要说明,这里由于是在支付的时候进行的串改,所以在订单中显示的支付金额应该还是原价,所以一般也很难被发现吧。包括你们后台的录订单的信息应该也是正常的,只是支付宝的真正收款被串改了。



3 所以,有可能这个漏洞已经被不法分子给利用了,建议你们还是自己排查排查下吧。目测如果被利用,然后要找出来,难度也挺大的!所以还是赶紧修补吧!!!

解决方案:

支付过程中加一个服务器生成的key,用户校验参数有没有被串改

知识来源: www.2cto.com/Article/201504/394516.html

阅读:71807 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“优个网存在支付逻辑漏洞(1分钱支付)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云