文章前言
支付逻辑是当前Web大环境下常见的业务逻辑之一,在各类电商平台、线上购课平台等较为常见,而对应的支付类漏洞也是层出不穷,造成支付类漏洞的主要原因有以下几个方面:
1、支付逻辑未对金额的正负值进行校验
2、支付逻辑设计存在不合理导致可被恶意利用
3、......
漏洞示例1
经测试,发现某应用在打赏课程时可修改打赏金额为负数使余额增加,如下图所示
修改之后个人余额增加:
漏洞示例2
经测试,攻击者给受害者转账时,将转账的数值设置为负数且受害者账户数值存在余额时,可以将受害者的账户转到攻击者账户上
修改数据包设置转账金额为-
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
