商品编号篡改测试
在交易支付类型的业务中,最常见的业务漏洞就是修改商品金额。例如在生成商品订 单、跳转支付页面时,修改 HTTP 请求中的金额参数,可以实现 1 分买充值卡、1元买特 斯拉等操作。此类攻击很难从流量中匹配识别出来,通常只有在事后财务结算时发现大额 账务问题,才会被发现。此时,攻击者可能已经通过该漏洞获得了大量利益。如果金额较 小或财务审核不严,攻击者则可能细水长流,从中获得持续的利益。事后发现此类漏洞, 就大大增加了追责的难度和成本。 此类业务漏洞的利用方法,攻击者除了直接篡改商品金额,还可以篡改商品编号,同 样会造成实际支付金额与商品不对应,但又交易成功的情况。攻击者可以利用此业务漏洞 以低价购买高价的物品.
修复建议
建议商品金额不要在客户端传入,防止被篡改。如果确实需要在客户端传输金额,则 服务端在收到请求后必须检查商品价格和交易金额是否一致,或对支付金额做签名校验, 若不一致则阻止该交易。