本文共 606 字,大约阅读时间需要 2 分钟。
现在有很多第三方支付平台,包括一些非法的,小平台
因为有利可图,所以做这种买卖,毕竟可以白收钱不是吗? 但是找的开发可能有些经验不足导致签名有问题之后的严重BUG 并且使用这些第三方支付小平台的公司或个人,基本也都是半吊子 之前遇到几家平台都有这种问题,记录一下
- 我充值时网站发送一个POST请求给第三方平台,这个请求居然不是服务器内部发送,而是通过浏览器。 请求内容有 金额,订单号,通知回调和充值成功回调网址,和一些标志信息
- 有几个修改金额后充值是可以充值的,并且订单成功,但是真实充值金额是多少,那么你账号金额到账就多少,没有逻辑漏洞,有些就直接签名校验失败了,说明这是第三方支付平台的限制
我是如何搞这个充值漏洞的
修改请求的通知回调URL,改为自己的URL,代码在下面
回调地址还有验证,是否是用户的地址,http://用户地址@我的地址 成功可以绕过,让用户地址当AUTH用户名用。
充值一毛钱,数据将会返回到我的服务器,我修改金额后
模拟支付平台通知用户,使用这些平台的小公司可没有签名校验的概念,他们可能认为平台发的消息永远是对的。造成了可以一毛钱随意充值金额的BUG。 之后已通知这几家平台修复这个漏洞。
而且一般这种第三方支付平台使用的校验加密很低级,下载一个DEMO就能看见整个加密过程,唯一不同的可能就是KEY了,甚至有些没有KEY,只用ID来进行签名生成,如果强行爆破一样跑出来。
转载地址:http://otlsi.baihongyu.com/