逻辑漏洞之支付漏洞
支付漏洞
烏云案例之順豐寶業務邏輯漏洞
案例說明
順豐寶存在支付邏輯漏洞,可以允許用戶1元變1億元。這個漏洞在其他網站很難存在,原因是頁面交互都使用了對字段做簽名。但是順豐寶沒做簽名,導致支付金額可以被修改為任意數值。猜測成因是開發人員為了快速實現功能,而忽略了其中數據簽名的步驟。可以想象,如果我充值1個億,然后再使用取款功能,會產生神馬效果。
利用過程
1 登錄順風寶查看余額
2 充值,選擇招商銀行。填寫充值金額1,如下圖:
?
提交之后如下:
?
3 開啟firefox的tamper,點擊支付,截取數據包,修改參數Amount為一分
?
4 提交跳轉到招行支付
?
5 支付成功后,招行扣去一分
?
6 查詢余額
?
烏云案例之樂視商城邏輯支付漏洞
案例說明
訂單的價格在支付鏈接中出現,導致用戶可以修改任意金額購買產品
利用過程
1 下單后選擇支付,如圖:
?
2 注意下面的連接,orderPrice參數為商品總額
?
3 將價格改成0.1
?
?
烏云案例之讀覽天下支付邏輯漏洞
案例說明
通過替換支付訂單號的方式,來完成花小錢買大東西。同時生成兩個訂單號,一個貴的一個便宜,首先支付便宜的,銀行往回返回的時候,替換訂單號,然后就可以完成兩個訂單的同時支付。
漏洞成因
服務端只檢查支付是否完成,并沒有確認訂單金額與銀行支付金額是否相同,過分信任客戶端提交的數據
修復方案
檢查支付完成后價格和買的產品的價格是一樣的。
烏云案例之天翼云盤通支付邏輯漏洞
案例說明
天翼云-云盤通設計缺陷,可提交負人民幣的訂單。
利用過程
1 選擇套餐如圖:
?
?
2 提交訂單然后我們抓包,將購買年限改成負數
?
3 提交數據包后如圖:
?
烏云案例之藥房網訂單提交邏輯漏洞
案例說明
藥房網訂單提交存在邏輯漏洞可對企業造成經濟損失
利用過程
1 生成訂單
?
2 使用Burp截斷數據包,修改運費為一元
?
3 提交數據包
?
烏云案例之淘美網繞過支付
案例說明
淘美網重置處存在邏輯漏洞,可繞過支付直接充值成功
經過測試發現支付成功后流程走至如下鏈接:
http://www.3need.com/index.php?controller=site&action=payok&out_trade_no=充值訂單號
只要提供對應的充值訂單號 就可以繞過支付直接充值成功。
利用過程
1 新注冊個賬號進行測試
?
2 賬號余額0
?
3 我們去充值,這個過程用burpsuite抓包,金額隨意寫
?
4 抓到支付訂單號然后構造鏈接:
?
?
5 直接訪問這個鏈接
?
6 接下來美女信息隨意看了,不夠再充
?
?
烏云大神的修復方案
1 和銀行交易時,做數據簽名,對用戶金額和訂單簽名。
2 敏感參數不要明文放在URL中
3 服務端效驗客戶端提交的參數
4 在服務端計算金額的時候,一定要判斷是否為正數。
5 支付過程中加一個服務器生成的key,用戶校驗參數有沒有被串改。
6 如果一定需要用URL傳遞相關參數,建議進行后端的簽名驗證
7 訂單金額和充值接口返回的數據進行校驗
8 提交訂單時后臺判斷單價是否與數據庫中相符,如不符則返回錯誤。
9 支付時應從服務器拉取數據,而不是直接讀客戶端的值!!
?
?
???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? -----------------文章來自微信公眾號---信安之路
總結
- 上一篇: Web渗透测试中常见逻辑漏洞解析与实战
- 下一篇: 逻辑漏洞之越权访问