商品支付金额篡改测试
电商类网站在业务流程整个环节,需要对业务数据的完整性和一致性进行保护,特别 是确保在用户客户端与服务、业务系统接口之间的数据传输的一致性,通常在订购类交易 流程中,容易出现服务器端未对用户提交的业务数据进行强制校验,过度信赖客户端提交 的业务数据而导致的商品金额篡改漏洞。商品金额篡改测试,通过抓包修改业务流程中的 交易金额等字段,例如在支付页面抓取请求中商品的金额字段,修改成任意数额的金额并 提交,查看能否以修改后的金额数据完成业务流程
修复建议
商品信息,如金额、折扣等原始数据的校验应来自于服务器端,不应接受客户端传递 过来的值。