最近分析了一下网页中使用支付宝付款付款,通过抓包分析绘制下面的流程图:
如上图,红色实线标注的地方表示容易出现漏洞的地方,我们在做渗透测试的时候要特别关注。
1、付款金额校验 付款金额必须在后台与商品id进行比对校验,最好的方式就是直接由商品id生成,不使用前端提交的数据。
2、商品数量,类别校验 同样作为入参要校验包括商品数量以及类别,防止负数等情况引起异常。
3、关键信息不要使用url明文传输 防止越权访问,避免方法是对url增加签名防止篡改,或者进行加密传输
最近分析了一下网页中使用支付宝付款付款,通过抓包分析绘制下面的流程图:
如上图,红色实线标注的地方表示容易出现漏洞的地方,我们在做渗透测试的时候要特别关注。
1、付款金额校验 付款金额必须在后台与商品id进行比对校验,最好的方式就是直接由商品id生成,不使用前端提交的数据。
2、商品数量,类别校验 同样作为入参要校验包括商品数量以及类别,防止负数等情况引起异常。
3、关键信息不要使用url明文传输 防止越权访问,避免方法是对url增加签名防止篡改,或者进行加密传输