优词网0.1元支付系统bug修复
上星期四,公司的支付宝邮箱收到了一封0.1元的支付订单。整个网站的代码搜索后,并没发现有0.1元的入口链接,于是排除了这是合理操作而出现的问题。
忽然想起很久之前,在WooYun.org这个网站中看到过京东商城也曾有这样类似的问题,于是对优词网也进行了相应支付操作,果然是同样的问题!数据在提交的时候,被第三方软件(firebug)进行了修改!修改后按提交按钮,价格并不是如我们设定的那样显示和支付了!!过程和结果看下列图:
之所有有这样的问题是,后台没有对传进来的数值进行判断就把数据提交到支付宝的支付系统去了。
问题所在找到了,现在要对后台文件加上对数据判断的功能。在接收数据的文件加上如下代码即可。
这次0.1元风波得一结论,涉及表单的操作,除了js对表单的判断,还需要后台对传进来的参数进行判断~!!才能达到万无一失!
分享按钮
忽然想起很久之前,在WooYun.org这个网站中看到过京东商城也曾有这样类似的问题,于是对优词网也进行了相应支付操作,果然是同样的问题!数据在提交的时候,被第三方软件(firebug)进行了修改!修改后按提交按钮,价格并不是如我们设定的那样显示和支付了!!过程和结果看下列图:
之所有有这样的问题是,后台没有对传进来的数值进行判断就把数据提交到支付宝的支付系统去了。
问题所在找到了,现在要对后台文件加上对数据判断的功能。在接收数据的文件加上如下代码即可。
这次0.1元风波得一结论,涉及表单的操作,除了js对表单的判断,还需要后台对传进来的参数进行判断~!!才能达到万无一失!