DAY73WEB 攻防-支付逻辑篇篡改属性值并发签约越权盗用算法溢出替换对冲

知识点：

1、支付逻辑-商品本身-修改-数量&价格&属性等

2、支付逻辑-营销折扣-优惠券&积分&签约&试用等

3、支付逻辑-订单接口-替换&并发&状态值&越权支付等

支付逻辑常见测试：

熟悉常见支付流程：选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付

熟悉那些数据篡改：商品ID，购买价格，购买数量，订单属性，折扣属性，支付方式，支付状态等

熟悉那些修改方式：替换支付，重复支付，最小额支付，负数支付，溢出支付，优惠券支付等

熟悉那些另类方法：无限试用，越权支付，并发兑换，四舍五入半价购，循环利用优惠券，支付签约逻辑等

支付逻辑挖掘：

找到关键的数据包：可能一个支付操作有三四个数据包，我们要对数据包进行挑选。

分析数据包：支付数据包中会包含很多的敏感信息（账号，金额，余额，优惠等）

要尝试对数据包中的各个参数进行分析。

不按套路出牌：多去想想开发者没有想到的地方，如算法拼接，关闭开启返优惠券等

PC端尝试过，APP端也看看，小程序也试试

支付逻辑安全修复：

在后端检查订单的每一个值，包括支付状态；

校验价格、数量参数，比如产品数量只能为整数，并限制最大购买数量 ；

与第三方支付平台检查，实际支付的金额是否与订单金额一致；

如给用户退款，要使用原路、原订单退回。如：退押金，按用户原支付订单原路退回；

加密、解密、数字签名及验证，这个可以有效避免数据修改，重放攻击中的各种问题；

金额超过指定值，进行人工审核等。

购买支付-修改数量&篡改价格&订单对冲

修改数量

篡改价格

产品替换对冲

购买支付-优惠券复用盗用&积分对冲溢出

正常每个账户只能领取一次

优惠卷复用

分别使用优惠卷购买商品及不使用优惠卷购买商品并抓取两个不同请求订单

数据包

goods_sku_list=1%3A1&leavemessage=&use_coupon=0&integral=0&account_balance=0&pay_type=0&buyer_invoice=&pick_up_id=0&express_company_id=1

goods_sku_list=1%3A1&leavemessage=&use_coupon=1&integral=0&account_balance=0&pay_type=0&buyer_invoice=&pick_up_id=0&express_company_id=1

优惠卷盗用

此时第四次购买商品，并修改数据包把use_coupon=0改为use_coupon=6

积分对冲溢出