首页 » 漏洞 » 优个网存在支付逻辑漏洞(1分钱支付)

优个网存在支付逻辑漏洞(1分钱支付)

 
文章目录

诶,前天在优个网买了套乒乓球装备,花了700多块大洋!第一次用优个网,感觉这网站用来买体育器材还不错,客服态度蛮好的。然后搜了搜这网站,竟然还是国内最大的体育器材电商。但是整个购买过程中,一直感觉这网站的安全做的很水,所以今天就专门去再看看有没有啥安全问题。

1 这里随便选了个商品作为演示,未真正支付利用。

 

优个网存在支付逻辑漏洞(1分钱支付)

2 正常下单程序去下单,然后支付,直到这一步。

 

优个网存在支付逻辑漏洞(1分钱支付)

3 然后发现付款,其实就是访问链接

http://www.yoger.com.cn/API_pay/alipay_direct/alipayto.asp?orderID=po******_****&paySum=1090

4 发现前面的orderID就是订单号,后面的paySum就是支付的金额总和。

那么果断修改下再访问,把1090改成0.01。

http://www.yoger.com.cn/API_pay/alipay_direct/alipayto.asp?orderID=po******_****&paySum=0.01

5 呵呵,这样就可以一分钱购买了。

 

优个网存在支付逻辑漏洞(1分钱支付)

 

1 可以看到上图中,已经是跳转到了支付宝的支付页面了,已经是支付宝的域名了,所以优个的服务器已经无法控制了,这里我就不去支付了。

2 然后还有个问题需要说明,这里由于是在支付的时候进行的串改,所以在订单中显示的支付金额应该还是原价,所以一般也很难被发现吧。包括你们后台的录订单的信息应该也是正常的,只是支付宝的真正收款被串改了。

3 所以,有可能这个漏洞已经被不法分子给利用了,建议你们还是自己排查排查下吧。目测如果被利用,然后要找出来,难度也挺大的!所以还是赶紧修补吧!!!

解决方案:

支付过程中加一个服务器生成的key,用户校验参数有没有被串改

原文链接:优个网存在支付逻辑漏洞(1分钱支付),转载请注明来源!

0