本文探讨了网站常见的安全漏洞,如SQL注入、XSS攻击、DDoS等,并通过jiasale电商支付系统漏洞举例,指出支付接口安全的重要性。同时,介绍了抵御DDoS攻击的多种方法,包括采用高性能设备、限制IP操作间隔等。最后,提到了互联网金融领域的权限越权、密码重置和信息泄露问题,提出相应安全建议。
攻击类型
SQL注入、XSS跨站脚本攻击、任意文件读取、CSRF攻击、远程拒绝服务类攻击(DDoS)、
jiasale电商支付系统重要漏洞,卖家损失巨大
漏洞触发场景:
1、在含有jiasale的网站,购买商品下订单
2、记录订单号
3、登录任意一个jiasale网站账户,通过特殊链接可以随意的更改价格,完成支付。比如把999元的改成0.01元
4、如果是自动发卡的,自动发货的,可以直接收到商品。
5、不管是商业用户,还是普通用户,都收到此影响。
分析及解决:
这种漏洞属于低级漏洞,支付接口对接时不应该接收前端页面关于价格的信息,也不应该开放一个页面允许用户去修改订单信息特别的是订单的金额。其次对接支付接口的时候,异步或者同步返回的信息除了做支付平台提供的认证校验,还要最少做订单号和订单金额的校验。
游戏电商类网站的支付漏洞
漏洞触发场景:
第一步:骗子在网站a上注册会员。人工或者使用自动程序,在网站a上获取下单,得到订单号;
第二步:骗子把订单支付网址发给被骗者,诱导被骗者支付。被骗者访问支付网址,就会跳转到第三方支付平台,接着进入网上银行支付货款。支付成功后,就等于花钱替骗子买了东西。
第三步:骗子瞬间把买到的东西挥霍一空。
分析及解决:
网站a没有检测到下单者和支付者不是同一个人,也没有开发开关及时冻结骗子会员账号。
网易宝的解决思路:购物对用户来说,主要分为下单、支付两个操作环节。比较用户下订单时的ip地址和支付后返回网站时的ip地址是否相同。如果两个ip地址不一样。那么就可以肯定下单和支付不是同一个人,就可以自动封禁该会员,禁止该会员对账户的操作权限。如果ip地址一样,可以判定是同一个人,应该不是异常单子。
但是对于大部分网商系统来说,支付页面都是有权限控制的,必须用户登录系统方可支付,所以这类漏洞出现的概率较低。
最低0.47元/天 解锁文章
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
