探秘0元支付漏洞:金钱背后的安全隐患

admin 2023年8月31日12:21:23评论8 views字数 657阅读2分11秒阅读模式

探秘0元支付漏洞:金钱背后的安全隐患

什么是0元支付漏洞?

探秘0元支付漏洞:金钱背后的安全隐患
 0元支付漏洞的出现主要源于支付系统中的逻辑漏洞,攻击者通过篡改支付参数或者绕过支付验证机制,实现0元购物的目的。在某些情况下,攻击者可能通过修改商品数量、价格,或者利用优惠券等手段,欺骗支付系统,成功实现0元支付。
探秘0元支付漏洞:金钱背后的安全隐患

SIMPLICITY

探秘0元支付漏洞:金钱背后的安全隐患

常见的0元支付漏洞类型

探秘0元支付漏洞:金钱背后的安全隐患

 

 

探秘0元支付漏洞:金钱背后的安全隐患

01

修改商品数量

探秘0元支付漏洞:金钱背后的安全隐患

原理:

攻击者可能在支付过程中修改商品数量,使总金额变为0元。

测试流程:

探秘0元支付漏洞:金钱背后的安全隐患

测试案例:

截取数据包->数量num参数修改为0 ->返回0元支付

探秘0元支付漏洞:金钱背后的安全隐患

点击支付->支付成功->成功生成订单

探秘0元支付漏洞:金钱背后的安全隐患

 

 

探秘0元支付漏洞:金钱背后的安全隐患

02

修改商品金额

探秘0元支付漏洞:金钱背后的安全隐患
原理:
攻击者可能在支付过程中修改商品金额,使总金额变为0元或者非常低。

测试流程:

探秘0元支付漏洞:金钱背后的安全隐患

测试案例:
截取数据包->修改支付金额payAmount值为1(payAmount以”分”做单位)

探秘0元支付漏洞:金钱背后的安全隐患支付0.01元 ->成功

探秘0元支付漏洞:金钱背后的安全隐患

 

03

修改支付方式

 

原理:

攻击者通过篡改支付请求中的支付类型参数,使系统错误地认为用户选择了免费支付方式,从而达到0元购买商品的目的。

测试流程:

探秘0元支付漏洞:金钱背后的安全隐患

测试案例:

paymentMethod=1 现金支付
paymentMethod=2 积分支付
paymentMethod=3 现金+积分支付方式
截取订单交易->修改支付方式paymentMethod参数为2->完成交易
探秘0元支付漏洞:金钱背后的安全隐患
探秘0元支付漏洞:金钱背后的安全隐患

SIMPLICITY

探秘0元支付漏洞:金钱背后的安全隐患

0元支付漏洞的危害

探秘0元支付漏洞:金钱背后的安全隐患
0元支付漏洞可能导致严重的财务损失,不仅影响个人,也可能给企业、金融机构甚至整个社会带来不小的危害。攻击者可能通过支付漏洞窃取财产、实施欺诈行为,甚至破坏金融系统的稳定。

原文始发于微信公众号(数安视界):探秘0元支付漏洞:金钱背后的安全隐患

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年8月31日12:21:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   探秘0元支付漏洞:金钱背后的安全隐患http://cn-sec.com/archives/1998296.html

发表评论

匿名网友 填写信息