企业官网建设流程全解析

做网站时候编代码,网络分析的应用案例,平阳住房和城乡建设厅网站,南京市建设工程档案馆网站Web攻防-支付逻辑篇篡改属性值并发签约越权盗用算法溢出替换对冲知识点#xff1a;1、WEB攻防-购买支付-修改数量篡改价格产品订单替换对冲2、WEB攻防-购买支付-优惠券复用盗用积分对冲溢出 3、实战SRC支付购买挖掘案例支付逻辑常见测…Web攻防-支付逻辑篇篡改属性值并发签约越权盗用算法溢出替换对冲知识点1、WEB攻防-购买支付-修改数量篡改价格产品订单替换对冲2、WEB攻防-购买支付-优惠券复用盗用积分对冲溢出3、实战SRC支付购买挖掘案例支付逻辑常见测试1、熟悉常见支付流程选择商品和数量-选择支付及配送方式-生成订单编号-订单支付选择-完成支付2、熟悉那些数据篡改商品ID购买价格购买数量订单属性折扣属性支付方式支付状态等3、熟悉那些修改方式替换支付重复支付最小额支付负数支付溢出支付优惠券支付等4、熟悉那些另类方法无限试用越权支付并发兑换四舍五入半价购循环利用优惠券支付签约逻辑等支付逻辑如何挖掘1、找到关键的数据包可能一个支付操作有三四个数据包我们要对数据包进行挑选。2、分析数据包支付数据包中会包含很多的敏感信息账号金额余额优惠等要尝试对数据包中的各个参数进行分析。3、不按套路出牌多去想想开发者没有想到的地方如算法拼接关闭开启返优惠券等4、PC端尝试过APP端也看看小程序也试试支付逻辑安全修复1、在后端检查订单的每一个值包括支付状态2、校验价格、数量参数比如产品数量只能为整数并限制最大购买数量 3、与第三方支付平台检查实际支付的金额是否与订单金额一致4、如给用户退款要使用原路、原订单退回。如退押金按用户原支付订单原路退回5、加密、解密、数字签名及验证这个可以有效避免数据修改重放攻击中的各种问题6、金额超过指定值进行人工审核等。一、演示案例-购买支付-修改数量篡改价格产品订单替换对冲修改商品数量或价格可以修改数量和价格产品替换对冲原本购买大米CMS现在就变成了大米测试产品价格还是大米CMS的价格订单替换对冲提交订单在抓包该数据包是大米CMS5400数据包该数据包是大米测试产品6000数据包再在提交订单的数据包里将数据包替换不就实现了用5400买6000的产品吗二、演示案例-购买支付-优惠券复用盗用积分对冲溢出背景优惠券每个账户只可以领一次优惠券复用先分别抓使用优惠券和不使用优惠券的数据包对比不同一个是四一个是零此时优惠券领取已经上限了发现优惠券使用成功了也就是说优惠券复用了优惠券盗用也就是说优惠券id有些有规律有些有算法我们需要根据这些规律或者算法逆向出可行的编号id才能使用这些优惠券积分对冲溢出规则如下注册送一百积分先兑换10积分出来看看我们发现一个问题兑换积分是多少剩余积分就会减少多少那我们如果兑换积分数改为负数会发生什么事呢抓包把兑换积分数1改成-10发现积分多了10当然这个是要看里面的积分数额算法是怎么样的我们还可以根据其中规律自己推演更换