立即下架!一玩就上瘾,爆款玩具正式起诉侵权,冻结即将开始...
到底是怎么回事儿?
我们先看个案例 杨先生做跨境电商有几个年头了,公司挺过了疫情,再加上最近的亚马逊大促,业绩正稳步提升。上个月,公司还建起了独立站,准备抓住这个风口,大干一场。 这天清晨,杨先生跟往常一样来到公司,准备看看最近的业绩数据。当杨先生输入电脑登陆密码后看到数据,却怎么都说不出话来了……突增大量订单交易记录但是账户收入却少的可怜。杨先生查询了近期的订单详情,发现出现了大量的1分钱购物订单?但实际售卖的商品怎么都不可能是1分钱的定价,这到底是为什么呢? 杨先生第一反应是系统出现了bug,便立即安排公司的技术主管跟进处理。在确认不是系统bug后请教了业内的大神才得知,原来是公司的系统存在漏洞,被不法人员利用了。 到底是什么漏洞呢?公司的系统没有对金额进行合理和完整的校验,攻击者将支付金额改成0.01元,让非正常消费者成功完成订单支付。 那么应该如何对系统进行修复呢? 商品信息的金额、折扣等数据的完整校验应该来自于服务器端,不应该接受客户端传递过来的值。 当下,网络在线消费和支付已经成为人们生活中的常态。本案例就常常会发生在数娱(在线充值)、电商(在线购物)等行业中,一旦漏洞被利用,就会给商户带来重大的经济损失。 商户该采取哪些措施来预防这样的安全漏洞呢?赟小贝给出以下三点建议: 注重系统开发的安全性 系统开发过程中要注重安全性,建议制定公司内部的应用安全开发规范并按规范开发。 通过服务端验证商品ID 每个商品拥有一个ID,每个ID对应相应的金额,用户购买商品提交时,服务端验证商品ID并计算商品金额后生成订单,不能信任客户端传递过的金额数据值。 保证订单编号的唯一性 无论支付成功还是失败,使用的订单编号必须唯一,并且记录订单编号,严禁二次使用。