• 秒刷功能
  • 编辑器快捷键
  • 关注按钮
  • 添加背景图
  • 弹幕文字修改增删
  • 时间轴增加节点
  • DIY收藏,一键套用
  • 图片快传
  • 二维码
  • 导入公众号
帮助中心首页 微信公众号早报 微信支付商家助手:充值1元,提现5万元?

微信支付商家助手:充值1元,提现5万元?

浏览量:55 发布时间:2020-10-19 09:19:10


充值1元,提现5万元?


前言

老杨打开公司的大门,还未到上班的点,平日讨论声此起彼伏的办公室静悄悄的,空无一人。


疫情影响正逐步散去,他的生意也在逐渐回暖。在上个月,他还找了第三方技术团队开发线上购物商城,支持了会员充值、提现等一系列功能


一切都会好起来的吧?他满怀希望地想,习惯性地点开了公司后台,查看业绩数据。


突然,老杨惊讶地睁大了眼睛——商城银行账户余额,怎么突然大幅度减少?


他点开资金流水,赫然发现昨晚有个会员账号,充值1元后,随之提现5万


这到底发生了什么?


隐秘的系统角落


商城系统bug?

老杨徒劳地刷新着界面。“不可能啊,难道是系统出bug了?”


这时,一个熟悉的名字划过他的脑海,“怎么把小黑这尊技术大神给忘了!”

他一拍脑袋,立马拨通了小黑的电话。


听他说完后,小黑检查了一遍老杨的商城系统,这才发来消息:


小黑

老杨,你们的商城系统存在漏洞,被人利用了。

啊?具体是什么问题?

老杨

小黑

小黑

你们的商城系统,没有对余额提现做数据校验

坏人将提现金额改成负数-50000,从而修改了账户余额,再提现盗取资金。

那我接下来该怎么做呢?

老杨

小黑

你让第三方技术团队,对于所有资金操作接口数据参数,都加上正数和类型合法性校验,防止计算逻辑错误

另外你赶紧去报警,让警察帮忙把钱找回来。


关掉对话框,老杨立即找来第三方技术团队来修复,又亲自去报警。


是结束,也是开始


资金安全风险需谨慎!

折腾了大半天,事情终于告一段落。


老杨盯着屏幕上的线上商城,叹了口气。这种模式虽然能快速拓展业务,但也带来资金安全风险。


看来,他在顾着业务发展,也不能忘了安全。


很快,小黑发来一篇安全指引


使用工具排查漏洞

如果公司已接入微信支付,还可免费申请使用「安全医生」。


该功能是微信支付与腾讯安全平台部联合打造,可诊断网站识别web漏洞,并提供修复建议,帮助完善网站。


开通路径:微信支付商户平台-产品中心-我的产品-安全医生 (建议电脑端打开)


常见问题及修复建议

以下常见问题,你需了解排查是否存在。


问题1:余额提现没有事务加锁,导致坏人可多次提现。

建议:系统对请求需进行事务加锁,限制高并发请求,防止重复多次付款给用户。


问题2:商城管理后台为弱口令登录,被坏人撞库登录成功。

建议:工作人员需设置复杂的密码并定期更换,避免多人共用。另登录功能需增加次数限制,如2分钟内超过N次登录失败自动锁定账户。


问题3:API验证因子泄露,被坏人利用入侵服务器。

建议:技术人员需妥善保管API验证因子(如微信支付的API密钥及API证书),避免上传至代码分享平台。


开发注重安全性

无论是公司自行开发,还是使用第三方公司的系统,建议都让技术依据安全规范开发,确保业务安全。

不知道安全规范?那你可将这个链接转发给技术参考:微信支付最佳安全实践 (建议电脑端打开)


正看着指引,小黑又发过来一段消息:

“不少坏人专门盯着这个,之后你真得重视安全,这场与坏人的较量将一直继续下去。”


老杨重重地点了点头,开始认真阅读指引,思考如何提高商城的安全系数。


此时他还不知道,这仅仅只是故事的开始。

未完待续......


上述故事纯属虚构。


注:此文章来源于微信支付商家助手

  • 微信在线客服

    请提供详细的截图大图+文字说明您的问题

    微信:xmyeditor01

  • 微信扫码查看帮助

    扫码关注,获取各种排版小技巧,黑科技!

复制成功

  • 关于我们
  • 商务合作
  • 服务协议
  • 网站地图
  • 意见反馈

扫码查看帮助