浏览量:5415 发布时间:2020-10-19 09:19:10
充值1元,提现5万元?
前言
老杨打开公司的大门,还未到上班的点,平日讨论声此起彼伏的办公室静悄悄的,空无一人。
疫情影响正逐步散去,他的生意也在逐渐回暖。在上个月,他还找了第三方技术团队开发线上购物商城,支持了会员充值、提现等一系列功能。
一切都会好起来的吧?他满怀希望地想,习惯性地点开了公司后台,查看业绩数据。
突然,老杨惊讶地睁大了眼睛——商城银行账户余额,怎么突然大幅度减少?
他点开资金流水,赫然发现昨晚有个会员账号,充值1元后,随之提现5万元!
这到底发生了什么?
隐秘的系统角落
商城系统bug?
老杨徒劳地刷新着界面。“不可能啊,难道是系统出bug了?”
这时,一个熟悉的名字划过他的脑海,“怎么把小黑这尊技术大神给忘了!”
他一拍脑袋,立马拨通了小黑的电话。
听他说完后,小黑检查了一遍老杨的商城系统,这才发来消息:
小黑
老杨
小黑
小黑
老杨
小黑
关掉对话框,老杨立即找来第三方技术团队来修复,又亲自去报警。
是结束,也是开始
资金安全风险需谨慎!
折腾了大半天,事情终于告一段落。
老杨盯着屏幕上的线上商城,叹了口气。这种模式虽然能快速拓展业务,但也带来资金安全风险。
看来,他在顾着业务发展,也不能忘了安全。
很快,小黑发来一篇安全指引。
使用工具排查漏洞
如果公司已接入微信支付,还可免费申请使用「安全医生」。
该功能是微信支付与腾讯安全平台部联合打造,可诊断网站识别web漏洞,并提供修复建议,帮助完善网站。
开通路径:微信支付商户平台-产品中心-我的产品-安全医生 (建议电脑端打开)
常见问题及修复建议
以下常见问题,你需了解排查是否存在。
问题1:余额提现没有事务加锁,导致坏人可多次提现。
建议:系统对请求需进行事务加锁,限制高并发请求,防止重复多次付款给用户。
问题2:商城管理后台为弱口令登录,被坏人撞库登录成功。
建议:工作人员需设置复杂的密码并定期更换,避免多人共用。另登录功能需增加次数限制,如2分钟内超过N次登录失败自动锁定账户。
问题3:API验证因子泄露,被坏人利用入侵服务器。
建议:技术人员需妥善保管API验证因子(如微信支付的API密钥及API证书),避免上传至代码分享平台。
开发注重安全性
无论是公司自行开发,还是使用第三方公司的系统,建议都让技术依据安全规范开发,确保业务安全。
不知道安全规范?那你可将这个链接转发给技术参考:微信支付最佳安全实践 (建议电脑端打开)
正看着指引,小黑又发过来一段消息:
“不少坏人专门盯着这个,之后你真得重视安全,这场与坏人的较量将一直继续下去。”
老杨重重地点了点头,开始认真阅读指引,思考如何提高商城的安全系数。
此时他还不知道,这仅仅只是故事的开始。
未完待续......
上述故事纯属虚构。
注:此文章来源于微信支付商家助手;
复制成功
Copyright © xmyeditor.com 2015-2024 河南九鲸网络科技有限公司
ICP备案号:豫ICP备16024496号-1 豫公网安备:41100202000215 经营许可证编号:豫B2-20200040