企业安全体系建设之路之Web安全篇

这几个属性值也是最为基础和常见的支付逻辑漏洞发生点，攻击者一般的攻击手法为修改支付金额的多少来进行测试，出现漏洞的支付步骤一般在提交订单时或提交订单之后，通过把支付的金额修改成低价格或者修改为负数，如果后端判断逻辑有问题，那么就会出现支付逻辑漏洞了。

所以，在后端进行判断时，要对相关参数进行绑定，即使在前端修改了，后端也是可以初始化参数的。

2.修改数量值

这个和修改参数属性值差不多，也是把商品数量修改为负数达到支付金额成负数的效果，当然还有一种就是商品差价修改，用一种低价格商品的数量总金额去支付高价格商品的数量总金额，如果后端逻辑有问题，那么就可以低价格购买高价格商品了。

3.越权支付

越权一般发生在支付环节，攻击者可以通过修改自身ID为其他用户的ID值，如果没有严格的支付密码或验证码的话，就可以达到用他人账户为自己的商品买单的效果，当然还有其他的越权支付手段，如越权支付他人账单，越权提现他人现金等。

4.条件竞争

条件竞争这个词我们在Web漏洞或是其他系统漏洞中都是可以看到的，条件竞争利用其高并发线程，利用时钟延迟(后台处理延迟)达到多出或或高于现有正常结果。如LFI漏洞，通过不断写入tmp文件，达到getshell的目的。同样，如提现功能来说，如果我们把要提现的金额分成多份，通过高并发线程，如果后端处理能力或者逻辑判断能力存在缺陷的话，那么我们就可以提现高于提现次数的金额。

5.支付状态

通常在我们支付成功后，服务器会返回一个支付成功或支付失败的结果，如果在后端没有对支付状态和订单号进行绑定的话，那么攻击者只需要修改返回状态为True就会成功购买商品，而无论支付是否成功。

（编辑：安卓应用网_福州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!