在线支付漏洞

发布于 2022-03-16  424 次阅读


支付漏洞

大部分的商户(支付宝、微信、银联)
用户、商家、三方平台
(用户[传参] -> 商家[计算出] ->支付宝 -> 商家 ->用户)
支付宝 给了你一个数据,然后你告诉商家你付了钱

防护方法

加密是有用的(起码可以筛掉一批)
  • 加密可能被解密
  • 加密也可以复用
  • 数据包中的加密是怎么产生(前端决定)

常见的修改点

  • 改价格
  • 改数量越权支付
  • 改运费
  • 优惠券叠加
  • 改订单状态

靶场实操

旧靶场

image-20220314185404936

先注册个账号,然后寻找漏洞点

image-20220314185510278

发现这里可以使购买数量为负数

image-20220314185520306

提交错误??/

image-20220314185639269

嘿嘿,发现钱包已经富裕了!!!

新靶场

image-20220314185735634

同样先注册账号

找到两个衣服价钱一样的

image-20220314190310230

这样总价最后为0元

image-20220314190439300

购买成功

image-20220314190459715

获得flag