支付逻辑漏洞挖掘与防护策略.pdfVIP

防范模型

支付前支付中支付后

1、检查边支1、检测签名是否

付金额界值正确

2、检查支付2、检测订单号是

数量边界值支付中的否正确

3、金额不要一般很少出现，3、检测订单号对

直接传输因为由或应的金额是否

4、使用订单正确

者是第管

号的方式传4、检测订单号对

输订单理，目前可以应的金额是否

5、对所有的利用的有SSL以正确

信息进5、检测订单号对

行签名及根应的产品是否

6、经常更换问题。正确

签名密钥6、检测收款人是

否正确

检测模型

订单号：

Order/OrderId/Order_id/out_trade_no/tradeNo/*trade*/*order*/payno*/payment_id/paymentId/merc_tranid/*tran

id*

价格：

*Price*/*total_fee*/*amount*/*amt*

数量：

*Number*/*quantity*

物品ID:

itemId/item_id

用户:

User/usr

地址：

Notifyurl/notify_url/return_url/returnurl/show_url/showurl

商户:

Default_partner/*partner*

签名方式

Sign_type/signtype

密钥：

PRIVATE(大写)/private_key/*MD5*/*key*

签名：

Sign*/*verify_sign*/*auth*

TheEnd