邏輯漏洞的支付漏洞是怎么回事

支付漏洞的理解通常都是篡改價格。比如，一分錢買任何東西。少收款、企業收費產品被免費使用，直接造成企業的經濟損失。

產生原因

開發人員往往會為了方便，直接在支付的關鍵步驟數據包中直接傳遞需要支付的金額。而這種金額后端沒有做效驗，傳遞過程中也沒有做簽名，導致可以隨意篡改金額提交。只需抓包看到有金額的參數修改成任意即可。

漏洞原理

一般支付流程：

用戶用錢包加上優惠券/折扣券確認購買商品的單價、數量以及購買時間，提交給平臺或商家確認無誤后，確認支付信息，報告購買信息。其中有三個重要的因素：用戶、商品、平臺/商家。這三個因素在支付流程中都有可能造成支付漏洞。

修復防范

• 對支付流程的每個環節進行校驗，并且防止跳過某一個環節。
• 用戶確認購買后，立即驗證商品價格（商品單價、商品數量、折扣優惠）、訂單價格和到賬金額。
• 對一些優惠券、折扣券的使用方式進行測試。
• 修復防范網站其他漏洞。

回答所涉及的環境：聯想天逸510S、Windows 10。