攻击类型
SQL注入、XSS跨站脚本攻击、任意文件读取、CSRF攻击、远程拒绝服务类攻击(DDoS)、
jiasale电商支付系统重要漏洞,卖家损失巨大
漏洞触发场景:
1、在含有jiasale的网站,购买商品下订单
2、记录订单号
3、登录任意一个jiasale网站账户,通过特殊链接可以随意的更改价格,完成支付。比如把999元的改成0.01元
4、如果是自动发卡的,自动发货的,可以直接收到商品。
5、不管是商业用户,还是普通用户,都收到此影响。
分析及解决:
这种漏洞属于低级漏洞,支付接口对接时不应该接收前端页面关于价格的信息,也不应该开放一个页面允许用户去修改订单信息特别的是订单的金额。其次对接支付接口的时候,异步或者同步返回的信息除了做支付平台提供的认证校验,还要最少做订单号和订单金额的校验。
游戏电商类网站的支付漏洞
漏洞触发场景:
第一步:骗子在网站a上注册会员。人工或者使用自动程序,在网站a上获取下单,得到订单号;
第二步:骗子把订单支付网址发给被骗者,诱导被骗者支付。被骗者访问支付网址,就会跳转到第三方支付平台,接着进入网上银行支付货款。支付成功后,就等于花钱替骗子买了东西。
第三步:骗子瞬间把买到的东西挥霍一空。
分析及解决:
网站a没有检测到下单者和支付者不是同一个人,也没有开发开关及时冻结骗子会员账号。
网易宝的解决思路:购物对用户来说ÿ