摘要：前言 大家对支付漏洞的理解通常都是篡改价格，已有的对支付漏洞的总结也是对现有的一些案例的经验式归类，没有上升到对在线支付流程深入分析的一个层面。这里尝试从分析在线支付流程，在线支付厂商的接入方式开始，深入业务分析整个在线交易流程中容易出现的安全问题。 支付宝/在线支付流程 支付宝即时到账接口开发流程 阅读全文

摘要：现在有不少测试朋友做的项目中，可能也会涉及到支付相关的功能。比如：做商城的，做游戏的以及其他在线交易的网站、APP等。如果支付出了问题，或者用户拿少的钱通过篡改请求数据购买大金额的商品，如果是实物的话，发货前还有可能被发现。如果是虚拟商品话费、游戏币等就有可能造成损失。 所以，不管是实物也好，虚拟商 阅读全文

摘要：最为经典的单引号判断法： 在参数后面加上单引号,比如: http://xxx/abc.php?id=1' 如果页面返回错误，则存在 Sql 注入。 原因是无论字符型还是整型都会因为单引号个数不匹配而报错。 通常 Sql 注入漏洞分为 2 种类型： 数字型 字符型 数字型判断： 当输入的参 x 为整型 阅读全文

摘要：一、数据输入 （把账号和密码分类，有效的和无效的） 1、有效的：长度在XX之间的。类型为XX的 2、无效的： 长度大于规定的、长度小于规定的、为负数、小数、英文字母、 字符、特殊字符 、中文、 ​转义字符 、空（包括：空的用户名和空的密码；正确的用户名和空的密码； 空的用户名和正确的密码；用户名的前 阅读全文

该文被密码保护。