伪装微信支付回调通知支付安全

最新推荐文章于 2024-08-15 12:23:09 发布
最新推荐文章于 2024-08-15 12:23:09 发布
阅读量1.8w 收藏 10
点赞数 2
分类专栏: 微信公众号 php 文章标签: 微信支付 支付安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flysnownet/article/details/90105913
版权 

keyword:伪装支付,伪造支付,假回调支付

原理

1.微信支付成功后,微信会给业务服务器发送回调通知,回调内容为一系列 参数的键值对参数按照key=value的格式,并按照参数名ASCII字典序排序生成字符串,然后用商户私钥对其进行签名,如MD5,并将签名撇接到字符串后,然后以XML方式发送给业务服务器,如果秘钥泄露,他人可任意伪造回调数据进行假通知,在业务服务器(1.没有更进一步判断IP是否来自微信服务器,2没有进行主动查询)的情况下订单支付成功

XML格式如下

<xml>
  <appid><![CDATA[wx7702adbodfgfr]]></appid>
  <bank_type><![CDATA[CFT]]></bank_type>
  <cash_fee><![CDATA[1]]></cash_fee>
  <fee_type><![CDATA[CNY]]></fee_type>
  <is_subscribe><![CDATA[Y]]></is_subscribe>
  <mch_id><![CDATA[14859555676]]></mch_id>
  <nonce_str><![CDATA[5cc7f45fc4693]]></nonce_str>
  <openid><![CDATA[o57o9wTaynF4KQLCKFkKU_bQwpQE]]></openid>
  <out_trade_no><![CDATA[CZ1455646546556]]></out_trade_no>
  <result_code><![CDATA[SUCCESS]]></result_code>
  <return_code><![CDATA[SUCCESS]]></return_code>
  <sign><![CDATA[31B9853EABE111E5EB34549AE7353D1]]></sign>
  <time_end><![CDATA[20190430150824]]></time_end>
  <total_fee>1</total_fee>
  <trade_type><![CDATA[JSAPI]]></trade_type>
  <transaction_id><![CDATA[4200000300201904302784014299]]></transaction_id>
</xml>

其中sign即为签名值

2.验签

服务器收到回调通知后,将除sign以外的参数进行拼接,形如

appid=wx7702adb1a1bfe&bank_type=CFT&cash_fee=1&fee_type=CNY&is_subscribe=Y&mch_id=1485955572&nonce_str=5cc7f45fc4693&openid=o57o9wTaynF4KQLCKFkKU_bQwpQE&out_trade_no=CZ1455646546556&result_code=SUCCESS&return_code=SUCCESS&time_end=20190430150824&total_fee=1&trade_type=JSAPI&transaction_id=4200000300201904302784014299

 然后用微信商户提供的保存在自己服务器上的的私钥对其进行签名,将其与回调通知里的sign进行比对,如果一样,则服务器任务支付成功,执行支付后的业务逻辑(所以商户私钥一点不要泄露,尽量避免直接写在代码里

伪装回调

条件:

必须知道商户私钥key

服务器回调地址

实现:

1.在业务平台进行下单,获取订单号,修改out_trade_no为此单号,修改支付金额等参数

2.生成签名

#1.对参数按照key=value的格式,并按照参数名ASCII字典序排序生成字符串:

appid=wx7702adba1bfe&bank_type=CFT&cash_fee=1&fee_type=CNY&is_subscribe=Y&mch_id=14859&nonce_str=5cc7f45fc4693&openid=o57o9wTaynF4KQLCKFkKU_bQwpQE&out_trade_no=CZ1455646546556&result_code=SUCCESS&return_code=SUCCESS&time_end=20190430150824&total_fee=1&trade_type=JSAPI&transaction_id=4200000300201904302784014299

#2.连接商户key:

appid=wx7702adba1bfe&bank_type=CFT&cash_fee=1&fee_type=CNY&is_subscribe=Y&mch_id=148595&nonce_str=5cc7f45fc4693&openid=o57o9wTaynF4KQLCKFkKU_bQwpQE&out_trade_no=CZ1455646546556&result_code=SUCCESS&return_code=SUCCESS&time_end=20190430150824&total_fee=1&trade_type=JSAPI&transaction_id=4200000300201904302784014299&key=key

这里可以用微信提供的支付接口签名校验工具生成

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=20_1

3.发送回调

以POST方式携带生成的XML格式参数请求回调地址(XML可能需要压缩去除空格回车)即可支付成功

防止

1私钥不要泄露,避免直接写在代码里

2收到回调通知后,与订单里的支付金额,时间等进行验证,

3收到回调通知后调用主动查询订单接口进行查询确认是否支付成功

4.将 notify_url 复杂化

5.使用HTTPS

6.绑定通知服务器 ip

附微信回调IP白名单

商户侧对商户回调通知功能开通白名单网段:
101.226.103.0/25、140.207.54.0/25、103.7.30.0/25、183.3.234.0/25、58.251.80.0/25
说明:

上海电信出口网段101.226.103.0/25
上海联通出口网段140.207.54.0/25
深圳电信出口网段183.3.234.0/25
深圳联通出口网段58.251.80.0/25
香港出口网段103.7.30.0/25
注意:深圳的出口为新增,商户侧需要新开防火墙

官方地址:

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=23_2

flysnownet
关注
专栏目录
第四节、项目支付功能实战-集成微信支付sdk、微信支付流程、微信支付API安全原理
superzhang6666的博客
12-18 258
**证书种类** - **商户API证书:** API证书,是指由商户申请的,用来证实商户身份的证书。API证书由证书授权机构Certificate Authority(简称CA)颁发。证书中包含商户的商户号、公司名称、公钥等信息。此API证书就是指商户的公钥文件,是`商户用来进行对消息加密使用`或`微信平台用来对消息进行验证签名`的。具体的申请方式 [商户API证书申请步骤](https://kf.qq.com/faq/161222NneAJf161222U7fARv.html)。商户号注册后,需要商户自
买卖宝
qq_37436291的博客
04-08 904
项目 多线程业务 异步实现 开启异步操作,用@EnableAsync在启动类注解 对应的异步方法上添加注解@Async 即表示该方法异步执行 商品压入Redis缓存(并发超卖问题解决) 解决超卖问题,可以利用Redis队列实现,给每件商品创建一个独立的商品个数队列,例如:A商品有2个,A商品的ID为1001,则可以创建一个队列,key=SeckillGoodsCountList_1001,往该队列中塞2次该商品ID。 每次给用户下单的时候,先从队列中取数据,如果能取到数据,则表明有库存,
微信支付回调工具类
11-30
对接微信支付统一下单接口时,下单支付成功后的回调工具类,相关的回调工具类使用,大家可以关注我的博客进入查看,有关键代码解析,配套使用更佳
记录一次系统入侵,微信支付回调
暴躁兔子的记录
04-08 1372
早上检查系统日志,发现有很多打印 2019-04-08 03:15:34 [ http-bio-8080-exec-149:384527931 ] - [ WARN ] Invalid XML, can not convert to map. Error message: DOCTYPE is disallowed when the feature "http://apache.org/xml/...
PHP微信V3支付完整版:实现与微信退款回调 总结
最新发布
withkai44的博客
08-15 553
首先,创建一个UnifiedOrder对象,然后设置订单的相关信息,如商品描述、订单金额、通知地址等。最后,调用UnifiedOrder的UnifiedOrder方法发起支付。当需要退款时,可以通过Refund类来发起退款请求。设置好必要的参数,如商户订单号、退款金额等,然后调用refund方法。支付成功后,微信会向你的通知地址发送回调请求。你需要根据官方文档的指引,对回调数据进行签名验证,确保数据的真实性。与支付回调类似,退款成功后,微信也会发送退款回调通知。你需要验证签名,并根据业务需求处理回调信息。
模拟支付宝微信回调
java电商源码分享
03-26 1724
源码地址 https://gitee.com/javashop/payment-mocker 介绍 支付回调模拟器的目的是为了解决在开发在线支付模块时,第三方支付成功后回调通知难以调试的问题。 接收第三方发送的回调通知必须是公网的IP或域名,在开发阶段可能频繁的要求三方发出通知。 目前支持支付宝、微信的回调模拟 解决方案 针对上述问题,这个模拟器在本地浏览器模拟发出请求,纯本地(或局...
微信支付 JSAPIV3 支付方式的服务端模拟,支付、退款主流程可用,能自动发起通知
代码工的备忘录
04-11 485
微信支付 服务端 模拟 目前优先实现JSAPIV3 供公众号H5 在 内网开发测试时无法连接外网的情况下使用 目前未做加解密 验签,支付推送通知chipertext未做加密,退款推送通知chipertext未做加密 目前进度JSAPIV3 实现了支付、退款流程相关模拟服务,支付和退款支持流程已支持。支付中定时关闭,交易关闭功能未实现。 需要使用mysql作为数据库,建表语句在simu-server\wepay-simu\src\main\resources\mysql-script目录下 前端模拟提交支付
微信APP支付回调
weixin_42087001的博客
11-23 2153
微信APP支付回调 1.回调地址,调起支付时需上传微信端 2.支付完成 3.微信端发回通知 4.使用postman模拟请求 二。后台接受 InputStream inStream = request.getInputStream(); ByteArrayOutputStream outSteam = new ByteArrayOutputStream(); byte[] buff...
微信支付,回调demo
zxc_user的博客
10-30 9999
文章转载自   http://blog.csdn.net/qq_29739821/article/details/53466614 首先 这个微信支付 官网的demo 是有bug的 研究了好几天  吸取了一些大神的指点才成功,还有csdn一些人发的代码都不全太坑,资源还少,今天我就整合一下, 把我的一些心得分享给大家 。 之前遇到的一些问题: 预支付i
支付业务名词及释义大全
支付思想库
03-01 6439
卡:卡是指不是持卡本人所使用的银行卡而是不法份子通过其技术手段复制出原卡信息进行违法刷卡套现的卡。银行卡是靠卡片上的磁条记录持卡人的资料代码,另外还有一组识别码。如果与刷卡机连线,或是用一台有记忆储存设备的读卡机(侧录器),将银行卡在上面刷一下,就能将真卡的数字全部记录下来。 AA收款: “AA收款”是微信内一个基于微信支付的一项应用。与“红包”不同的是,它能以某种名义(如聚
支付系统设计包含:账户,对账,风控...!史上最全的!--转
02-22 1714
原文地址:http://mt.sohu.com/business/d20161222/122312609_481676.shtml      账户体系是支付系统的基础,它的设计直接影响整个系统的特性。这里探讨如何针对电子商务系统的支付账户体系设计。我们从一些基本概念开始入手,了解怎么建模。      支付账户和登录账号   账户体系设计首先要区分两个概念,支付账户和登录...
区块链相关安全名词及常见攻击手法
kidteaing的博客
09-06 4263
钱包 Wallet 钱包(Wallet)是一个管理私钥的工具,数字货币钱包形式多样,但它通常包含一个软件客户端,允许使用者通过钱包检查、存储、交易其持有的数字货币。它是进入区块链世界的基础设施和重要入口。 据 SlowMist Hacked 统计,仅 2018 年因“钓鱼”、“第三方劫持”等原因所造成的钱包被黑损失总金额就达 69,160,985 美元,深究根本,除了部分钱包本身对攻击防御的不全面...
微信支付回调接口务必做sign签名验证
weixin_34302798的博客
05-03 1202
2019独角兽企业重金招聘Python工程师标准>>> ...
微信虚拟支付(米大师)回调配置
zxc_user的博客
01-26 1263
虚拟支付也称为米大师支付,是微信提供的一种虚拟币,用户通过微信支付虚拟币成功后需要回调我们后台的接口处理业务。本篇文章就是在说明怎么配置这个回调的。
微信扫码支付回调处理
qq_42643690的博客
10-31 1155
1.设置回调地址 String notify_url= “/notify/pay/supplier/wechat/rechargePayNotifyRes.htm”; 2.接收回调信息并解析 /** * 微信供应商充值的异步回调通知 */ @RequestMapping(value = "/notify/pay/supplier/wechat/recharge...
微信V3小程序支付&本地测试回调方法(NATAPP内网穿透)
12-28 3195
支付成功后的服务器回调url(后台随便的一个接口能接收到就行) wxpay.notifyUrl=http://6dnnar.natappfree.cc/weiXinPay/callBack。访问 http://6dnnar.natappfree.cc/index.jsp。# 支付成功后的服务器回调url(后台随便的一个接口能接收到就行)# 微信支付商户号 服务商模式下为服务商的mchid 必填。#微信支付的商户密钥(开发者在微信商户平台查询)官网:https://natapp.cn。
微信支付通知回调
qq_41977264的博客
04-10 2380
&lt;?php /** * * 回调基础类 * @author widyhu * */ class WxPayNotify extends WxPayNotifyReply { /** * * 回调入口 * @param bool $needSign 是否需要签名输出 */ final public function Handle($needSign = tr...
微信回调调试方法
licanfeng1的专栏
05-13 1550
public function receiveNotify() { //通知频率为15/15/30/180/1800/1800 //1.检查库存量。 //2.更新订单status //减库存 //如果成功处理,我们返回微信成功处理的信息,否则,返回失败信息 // $xmlData = file...
微信小程序之wx.requestPayment 发起微信支付
weixin_34197488的博客
07-16 8563
wx.requestPayment 发起微信支付 timeStamp 时间戳 nonceStr 随机字符串 package 统一下单接口返回的 prepay_id 参数值 signType 签名算法 paySign 支付签名 success 接口成功回调 fail 接口失败回调 complete 接口完成回调(成功,失败都执行) 1.先调用后台接口,生产基本数据 // 获取店铺信息 Api.Bal...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

flysnownet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值