前幾篇的網站安全檢測的文章，介紹的都是跟驗證碼以及用戶邏輯功能方面的安全測

試與防攻擊方法，今天給大家深度的來剖析一下關於網站裡含有支付接口的安全漏洞。許多

商城網站，以及微信支付網站，在線遊戲平台，發卡商，棋牌等網站都含有支付功能，支付

安全是整個網站中，安全佔比較高的，支付安全出了問題，帶來的可是無法估量的損失。

 

 

支付接口的安全漏洞
 

 

經常出現的漏洞，是支付金額的篡改，比如一件商品賣10元，通過非法手段去修改商品的金

額，改成0.001元即可購買成功，就可以造成低價多賣的攻擊情況，還有些可以修改商品的快

遞費，以及優惠券的立減，金額的數值可以是負數，負數的時候，會造成用戶的餘額增多，

出現用戶加錢漏洞。
 

 

再一個是支付的邏輯漏洞，有些程序代碼裡對支付接口進行了判斷與選擇，比如對比sign的值

來進行判斷用戶的賬號，有的是CMD5加密，可以破解CMD5的值來獲取sign值，並篡改用戶，

利用用戶的賬戶金額去下單購買。支付上還存在著購買數量的篡改，比如數量1，那麼通過GET

POST請求篡改，導致可以購買數量10，數量100，但是總金額還是數量1的價格。這就造成了

可以惡意的下單購買，給商城以及網站帶來更大的損失。

 

 

支付加密算法漏洞

 

很多支付的網站都調用的api接口，一般api接口對應的都是與網站數據庫裡的表段相關聯的，很

多支付平台並沒有把這個加密算法寫好，導致攻擊者可以利用繞過算法來進行攻擊，大多數的

支付平台會在網站的前端進行JS安全過濾，限制一些非法的字符以及惡意的輸入值。從而我們

從JS代碼裡去分析檢測就會發現是怎麼加密的，然後後推的邏輯方法去推算出支付平台的加密算

法，進行解密。

 

 

網站支付接口的邏輯漏洞修復建議：

 

 

金額，以及數量，單價，快遞費等支付時需要輸入的一些數值，盡量的進行安全過濾與判斷，嚴

格控制用戶從GET、POST、Cookies等的提交方式去篡改數值，再一個支付的加密算法，盡肯

能在程序代碼裡，主機端裡做過濾。