商户网站接入支付结果有两种方式, 一种是通过浏览器进行跳转通知, 一种是服务器端异步通知 浏览器跳转 基于用户访问的浏览器,如果用户在银行页面支付成功后,直接关闭了页面,并未等待银行跳转到支付结果页面,那么商户网站就收不到支付结果的通知,导致支付结果难以处理。而且浏览器端数据很容易被篡改而降低安全性 服务器端异步通知 该方式是支付公司服务器后台直接向用户指定的异步通知URL发送参数,采用POST或GET的方式。商户网站接收异部参数的URL对应的程序中,要对支付公司返回的支付结果进行签名验证,成功后进行支付逻辑处理,如验证金额、订单信息是否与发起支付时一致,验证正常则对订单进行状态处理或为用户进行网站内入账等
商户网站接入支付结果有两种方式,
一种是通过浏览器进行跳转通知,
一种是服务器端异步通知
浏览器跳转
基于用户访问的浏览器,如果用户在银行页面支付成功后,直接关闭了页面,并未等待银行跳转到支付结果页面,那么商户网站就收不到支付结果的通知,导致支付结果难以处理。而且浏览器端数据很容易被篡改而降低安全性
服务器端异步通知
该方式是支付公司服务器后台直接向用户指定的异步通知URL发送参数,采用POST或GET的方式。商户网站接收异部参数的URL对应的程序中,要对支付公司返回的支付结果进行签名验证,成功后进行支付逻辑处理,如验证金额、订单信息是否与发起支付时一致,验证正常则对订单进行状态处理或为用户进行网站内入账等
相对于其他漏洞来说,支付漏洞应该是大家最喜闻乐见的了,比如一分钱购买手机(但是大家渗透测试要有分寸 支付漏洞并不需要代码审计,各位同学可以放心。 支付漏洞属于逻辑漏洞,挖掘这类漏洞有发散(QiPa)思维,往往有事半功倍的效果,简单来说就是不按常理出牌。
相对于其他漏洞来说,支付漏洞应该是大家最喜闻乐见的了,比如一分钱购买手机(但是大家渗透测试要有分寸
支付漏洞并不需要代码审计,各位同学可以放心。
支付漏洞属于逻辑漏洞,挖掘这类漏洞有发散(QiPa)思维,往往有事半功倍的效果,简单来说就是不按常理出牌。
支付三步曲——订购、订单、付款 三个步骤当中的随便一个步骤进行修改价格测试,如果前面两步有验证机制,那么你可在最后一步付款时进行抓包尝试修改金额,如果没有在最后一步做好检验,那么问题就会存在,其修改的金额值你可以尝试小数目或者尝试负数。
订单完成——未完成(傻傻分不清) A订单-0001完成——B订单-0002未完成 付款时尝试把订单B的单号给成订单A 其实也不局限于付钱:http://woo.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0156253
优惠劵 优惠劵其基本都是优惠,一般用优惠劵进行消费一般出现在第二个步骤当中:确认购买信息,在这个步骤页面当中,你可以选择相关优惠劵,然后直接修改金额大于或等于商品的价格就可以,或者直接修改其为负值进行尝试,最后进行支付,如果对这点没有加以验证,那么问题就会产生,直接支付成功
如何挖掘 找到关键的数据包 可能一个支付操作有三四个数据包,我们要对数据包进行挑选。 分析数据包 支付数据包中会包含很多的敏感信息(账号,金额,余额,优惠),要尝试对数据包中的各个参数进行分析。 不按套路出牌 多去想想开发者没有想到的地方 pc端尝试过,wap端也看看,app也试试。
如何挖掘 找到关键的数据包
可能一个支付操作有三四个数据包,我们要对数据包进行挑选。
分析数据包 支付数据包中会包含很多的敏感信息(账号,金额,余额,优惠),要尝试对数据包中的各个参数进行分析。 不按套路出牌 多去想想开发者没有想到的地方 pc端尝试过,wap端也看看,app也试试。
防御方法 后端检查每一项值,包括支付状态。 校验价格、数量参数,比如产品数量只能为正整数,并限制购买数量 与第三方支付平台检查,实际支付的金额是否与订单金额一致。 支付参数进行MD5 加密、解密、数字签名及验证,这个可以有效的避免数据修改,重放攻击中的各种问题 金额超过阈(yu)值,进行人工审核
防御方法 后端检查每一项值,包括支付状态。
校验价格、数量参数,比如产品数量只能为正整数,并限制购买数量 与第三方支付平台检查,实际支付的金额是否与订单金额一致。
支付参数进行MD5 加密、解密、数字签名及验证,这个可以有效的避免数据修改,重放攻击中的各种问题 金额超过阈(yu)值,进行人工审核
支付漏洞属于逻辑漏洞的一种,是和支付的业务有关,支付业务中出现的逻辑漏洞全部属于支付漏洞
支付业务一般和资金挂钩,如果支付宝存在支付漏洞,我可以不断的刷钱,你觉得危害如何?
支付漏洞还是比较常见的,特别是一些小商城、小网站、非法网站容易出现一些支付漏洞
支付漏洞测试用较小的金额,一般控制在10块内,金额不要过大,而且测试成功后火速提交,不要留着。
快捷支付实际上就是跳转到支付页面,然后你付钱,然后商家获取到支付结果(早期由依赖浏览器跳转的支付、后面多为异步传输(付钱成功后,支付商和商家有自己的联系通道,不依靠客户浏览器跳转))
不需要,而且一般而言你也没有目标源码,无法进行审计
不仅仅是支付漏洞,在逻辑漏洞中,要有发散性思维,多想一些别人一般不会想到的操作,比如支付漏洞,买几个商品,然后在数量那里有负数,然后将最终价格变为0
修改支付价格、修改支付状态、修改订单数量、修改优惠价优惠价格和使用限制、越权支付、无限试用
修改支付价格,主要是通过抓包,比如你买一个电脑,标价6999,然后你发现数据包里面有6999的传参,然后我改成了6.999,然后跳转到支付页面,我付了6.999将这个电脑买下,也可以把金额改为负数
比如你购买一个1000的商品,然后又购买一个10块的商品,两个订单号不同,然后你抓包,将1000块支付发送的数据包的订单号改为10块,然后付了10块钱,发现商品买到手了
订单数量的操作一般都是负数,买一个贵的,几个便宜的商品,然后贵的商品的价格为-1,于是乎这个贵的商品的价格就是个负数,比如-8999,然后我再买几个商品,加起来也是8999,那么计算总金额的时候就是 -8999+8999 == 0 ,于是乎0元购买了
这里出发点,不在于商品本身了,核心在于优惠卷,比如优惠卷价格修改,比如使用N张优惠卷
越权支付,修改支付金额的用户id号,扣其他用户的钱
那里都有,不仅仅WEB,有支付的方面都可能有,这个要开阔思维,我上次出去吃个烧烤,扫码点单顺手一个XSS
看到第一件事是别慌,加密不代表杜绝漏洞了,先看看能不能找到加密方式,然后买不同价格东西,买同价格的东西,去比对数据包
后端检测一切传参、金额大的话人工审核、传参中不涉及金额、加密传参
做好权限控制呗
修改支付价格和修改支付数量都行
控制参数
以前艺龙似乎出现一个支付漏洞,只需要信用卡账号有信用卡有效期就可以直接消费。
他山之石,可以攻玉。
(| 乌云网 | WooYun.org)
好了好了,进靶场看一看,把之前流的坑跟填平
不得不说,这页面真的比老版好太多了,不知道的还以为我在摸鱼
但是点点就会发现,好多页面都是打不开的,毕竟就是个靶场呀,可以理解的
而且每个能打开的页面,都可以看到推荐的小姐姐衣服,不用猜,开发这靶场的是个男孩子~
抓到包后,把数量改为-1就可以了
都到这一步了才发现自己还没有注册登录
注册登录完成后,发现购物车被清空,又要去改包了
支付成功后,进入个人中心,发现还是没有出现flag,好奇怪呀!!
我又逛了逛,在待发货哪里看到了可以退货的选项,我在想,是不是退回来的是有钱的就像是空手套白狼,就选择了退款
重申一遍,这是靶场复现,不能上升到生活中
我已经遇到过认识的人进去了!!!
京公网安备 11010802041100号