支付宝支付时不验证签名的危害

在开发支付宝支付功能时,如果没在回调方法验证签名,有可能被刷钱,下面说下怎么造成的

场景:某个app有个充值功能,或者下单购买功能,假设用户选择的是支付宝支付。

切入口:支付宝的callback路径。通过伪装信息直接访问支付宝支付完成的回调路径,传入相应信息,如果app的服务端没验证签名,那有可能就被欺骗了,从而做支付成功的逻辑处理。

伪装信息如支付宝接口文档中的:

http://notify.java.jpxx.org/index.jsp?discount=0.00&payment_type=1&subject=测试[email protected]&gmt_create=2013-08-22 14:45:23¬ify_type=trade_status_sync&quantity=1&out_trade_no=082215222612710&seller_id=2088501624816263¬ify_time=2013-08-22 14:45:24&body=测试测试&trade_status=TRADE_SUCCESS&is_total_fee_adjust=N&total_fee=1.00&gmt_payment=2013-08-22 14:45:[email protected]&price=1.00&buyer_id=2088602315385429¬ify_id=64ce1b6ab92d00ede0ee56ade98fdf2f4c&use_coupon=N&sign_type=RSA&sign=1glihU9DPWee+UJ82u3+mw3Bdnr9u01at0M/xJnPsGuHh+JA5bk3zbWaoWhU6GmLab3dIM4JNdktTcEUI9/FBGhgfLO39BKX/eBCFQ3bXAmIZn4l26fiwoO613BptT44GTEtnPiQ6+tnLsGlVSrFZaLB9FVhrGfipH2SWJcnwYs=

其中需要修改的是:

1.订单号,通常打开支付宝支付之前,客户端会调用服务端接口创建一个订单信息,并返回订单号,这个需要做拦截才能拿到。

2.回调路径,这个路径有可能通过服务端返回给客户端的,这种情况可以尝试拦截获取,如果是写在apk中的,那就反编译获取。

拿到这两个信息后,可以修改下总价格total_fee,单价:price,数量:quantity

准备好以后,那就访问回调路径,同时传入伪装的所有信息。如果服务端没验证签名,那么此时服务端的金额可能已经修改。


写这个东西是为了告诉大家必须做验证签名功能,否则会存在很大隐患,也希望大家不要做非法用途,否则后果自负。

如果哪位大神有更深的研究,勿喷,请不吝赐教!

你可能感兴趣的:(支付宝支付时不验证签名的危害)