做网站好的网络公司,网站开发与管理期末考试,网站开发与设计,wordpress静态化html知识点#xff1a;
1、支付逻辑-商品本身-修改-数量价格属性等
2、支付逻辑-营销折扣-优惠券积分签约试用等
3、支付逻辑-订单接口-替换并发状态值越权支付等 支付逻辑常见测试#xff1a; 熟悉常见支付流程#xff1a;选择商品…知识点
1、支付逻辑-商品本身-修改-数量价格属性等
2、支付逻辑-营销折扣-优惠券积分签约试用等
3、支付逻辑-订单接口-替换并发状态值越权支付等 支付逻辑常见测试 熟悉常见支付流程选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付
熟悉那些数据篡改商品ID购买价格购买数量订单属性折扣属性支付方式支付状态等
熟悉那些修改方式替换支付重复支付最小额支付负数支付溢出支付优惠券支付等
熟悉那些另类方法无限试用越权支付并发兑换四舍五入半价购循环利用优惠券支付签约逻辑等
支付逻辑挖掘 找到关键的数据包可能一个支付操作有三四个数据包我们要对数据包进行挑选。
分析数据包支付数据包中会包含很多的敏感信息账号金额余额优惠等
要尝试对数据包中的各个参数进行分析。
不按套路出牌多去想想开发者没有想到的地方如算法拼接关闭开启返优惠券等
PC端尝试过APP端也看看小程序也试试
支付逻辑安全修复 在后端检查订单的每一个值包括支付状态
校验价格、数量参数比如产品数量只能为整数并限制最大购买数量
与第三方支付平台检查实际支付的金额是否与订单金额一致
如给用户退款要使用原路、原订单退回。如退押金按用户原支付订单原路退回
加密、解密、数字签名及验证这个可以有效避免数据修改重放攻击中的各种问题
金额超过指定值进行人工审核等。
购买支付-修改数量篡改价格订单对冲 修改数量 篡改价格 产品替换对冲 购买支付-优惠券复用盗用积分对冲溢出 正常每个账户只能领取一次 优惠卷复用 分别使用优惠卷购买商品及不使用优惠卷购买商品并抓取两个不同请求订单
数据包 goods_sku_list1%3A1leavemessageuse_coupon0integral0account_balance0pay_type0buyer_invoicepick_up_id0express_company_id1 goods_sku_list1%3A1leavemessageuse_coupon1integral0account_balance0pay_type0buyer_invoicepick_up_id0express_company_id1 优惠卷盗用 此时第四次购买商品并修改数据包把use_coupon0改为use_coupon6 积分对冲溢出
