注意:仅用于本人学习的笔记记录,禁止进行传播分享,一旦造成严重后果与本人无关!!!
一、快捷支付原理
支付漏洞属于逻辑漏洞
支付漏洞:
1.大部分的商户(支付宝、微信、银联)
用户[传参] -> 商家 -> 第三方平台 -> 商家 -> 用户
浏览器跳转
服务器端异步输出
二、常见支付漏洞
a、修改支付的价格
防护方法:
加密是有用的
1.加密可能被解密
2.加密可以能复用
3.数据包中的加密是由前端决定
校验:
商品和钱的传参应该要校验
b、订单完成--未完成分不清楚
c、修改订单数量
d、修改附属值
优惠券
越权支付:用别人的钱包支付自己的商品
跳过支付环节:依靠浏览器跳转
e、条件竞争
打赏金币(条件竞争100条)没做锁PHP是一个多线程的东西
检测有没有钱 -> 打钱 -> 扣钱
解决方案:加锁一个一个来