| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | 

您现在的位置: 中国X黑客小组 >> 技术文章 >> 安全防御 >> 漏洞分析 >> 文章正文 用户登录 新用户注册
  云网在线支付漏洞初探         ★★★ 【字体:
云网在线支付漏洞初探
作者:Neeao(Bu…    文章来源:CnXHacker.Net    点击数:    更新时间:2005-12-21    
IF

  '---校验商户订单系统中记录的订单金额和云网支付网关通知信息中的金额是否一致
    Dim r_orderamount  '商户自己系统记录的订单金额
    r_orderamount=rs("订单金额")  '商户从自己订单系统获取该值
    IF ccur(r_orderamount)<>ccur(c_orderamount) THEN
      response.write "支付金额有误"
      response.end
    END IF

  '---校验商户订单系统中记录的订单生成日期和云网支付网关通知信息中的订单生成日期是否一致
    Dim r_ymd  '商户自己系统记录的订单生成日期
    r_ymd=rs("订单生成日期")  '商户从自己订单系统获取该值
    IF r_ymd<>c_ymd THEN
      response.write "订单时间有误"
      response.end
    END IF

  '---校验商户系统中记录的需要在支付结果通知中转发的参数和云网支付网关通知信息中提供的参数是否一致
    Dim r_memo1  '商户自己系统记录的需要在支付结果通知中转发的参数一
    r_memo1 = rs("转发参数一")
    Dim r_memo2  '商户自己系统记录的需要在支付结果通知中转发的参二
    r_memo2 = rs("转发参数二")
    IF r_memo1<>c_memo1 or r_memo2<>c_memo2 THEN
      response.write "参数提交有误"
      response.end
    END IF

  '---校验返回的支付结果的格式是否正确
    IF c_succmark<>"Y" and c_succmark<>"N" THEN
      response.write "参数提交有误"
      response.end
    END IF

  '---根据返回的支付结果,商户进行自己的发货等操作
    IF c_succmark="Y" THEN
      '根据商户自己商务规则,进行发货等系列操作
    END IF
%>
我们可以看到他的验证签名的方式,是将银行反馈过来的信息链接后和在提交页面提交的信息,
先看签名是如何验证的:   '---将获得的通知信息拼成字符串,作为准备进行MD5加密的源串,需要注意的是,在拼串时,先后顺序不能改变
    Dim c_pass  '商户的支付密钥,登录商户管理后台(https://www.cncard.net/admin/),在管理首页可找到该值
    c_pass = "Test"
    
    srcStr = c_mid & c_order & c_orderamount & c_ymd & c_transnum & c_succmark & c_moneytype & c_memo1 & c_memo2 & c_pass

  '---对支付通知信息进行MD5加密
    r_signstr  = MD5(srcStr)

  '---校验商户网站对通知信息的MD5加密的结果和云网支付网关提供的MD5加密结果是否一致
    IF r_signstr<>c_signstr THEN
      response.write "签名验证失败"
      response.end
    END IF是通过提交的这些信息加密后来验证的,而商户的支付密钥,我们可以在提交页面获取到!而这里他程序需要添加上去的!
我们就不需要了,我们需要的只是让r_signstr等于c_signstr 就可以搞定它了!欺骗方法我就不说了!
至于其他的欺骗,不存在加密了,全部明文的了!很容易就过去了

上一页  [1] [2] 
文章录入:IceRiver    责任编辑:IceRiver 
  • 上一篇文章:

  • 下一篇文章:
    • 发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    最新热点 最新推荐 相关文章
    Kingston2.7万客户在线资料被
    [法治在线]“熊猫烧香”
    “东方星天地”免费在线杀毒
    McAfee发布在线身份盗取报告
    牵手赛门铁克 百度将“在线杀
    地震重创微软在线业务 腾讯S
    MSN否认年审遇阻 在线业务中
    新云网站管理系统文件注入漏
    Google推出在线支付服务称并
    微软在线安全策略总监:赢取反
      网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!)
    Powered by ICE RIVER - STUDIO
    » CnXHacker.CoM   © CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved.