立即下架!一玩就上瘾,爆款玩具正式起诉侵权,冻结即将开始...
2021-06-25 08:55:30
20
到底是怎么回事儿?
我们先看个案例
杨先生做跨境电商有几个年头了,公司挺过了疫情,再加上最近的亚马逊大促,业绩正稳步提升。上个月,公司还建起了独立站,准备抓住这个风口,大干一场。
这天清晨,杨先生跟往常一样来到公司,准备看看最近的业绩数据。当杨先生输入电脑登陆密码后看到数据,却怎么都说不出话来了……突增大量订单交易记录但是账户收入却少的可怜。杨先生查询了近期的订单详情,发现出现了大量的1分钱购物订单?但实际售卖的商品怎么都不可能是1分钱的定价,这到底是为什么呢?
杨先生第一反应是系统出现了bug,便立即安排公司的技术主管跟进处理。在确认不是系统bug后请教了业内的大神才得知,原来是公司的系统存在漏洞,被不法人员利用了。
到底是什么漏洞呢?公司的系统没有对金额进行合理和完整的校验,攻击者将支付金额改成0.01元,让非正常消费者成功完成订单支付。
那么应该如何对系统进行修复呢?
商品信息的金额、折扣等数据的完整校验应该来自于服务器端,不应该接受客户端传递过来的值。
当下,网络在线消费和支付已经成为人们生活中的常态。本案例就常常会发生在数娱(在线充值)、电商(在线购物)等行业中,一旦漏洞被利用,就会给商户带来重大的经济损失。
商户该采取哪些措施来预防这样的安全漏洞呢?赟小贝给出以下三点建议:
注重系统开发的安全性
系统开发过程中要注重安全性,建议制定公司内部的应用安全开发规范并按规范开发。
通过服务端验证商品ID
每个商品拥有一个ID,每个ID对应相应的金额,用户购买商品提交时,服务端验证商品ID并计算商品金额后生成订单,不能信任客户端传递过的金额数据值。
保证订单编号的唯一性
无论支付成功还是失败,使用的订单编号必须唯一,并且记录订单编号,严禁二次使用。
我们建了一个亚马逊卖家交流群,里面不乏很多大卖家。
现在扫码回复“ 加群 ”,拉你进群。
0 赞
最新
热门文章
*30分钟更新一次
1681370192
1681370192
1724834806
1724834806
1676464232
1676464232
1724144057
1724144057
1643010146
1643010146
