订单价格被hacker修改,然后发了个邮件给我,求解?

丁工 发布于 2013/05/17 14:12
阅读 431
收藏 0
I just received an e-mail from the "hacker"
he first changed his hosts file by adding a line: 1.1.1.1 www.mydomain.com
then he uses iptable command to reroute the traffic to port 10101 on his laptop
iptables -t nat -I OUTPUT 1 -d 1.1.1.1 -p tcp --dport 80 -j REDIRECT --to 10101
then he uses netsed to change the replace the price and send it to the real site again
netsed tcp 10101 94.124.93.162 80 's/11.6/0.01/'


LAMP环境
把11.6欧元的订单改成了0.01欧元,感觉不像是应用层的问题

求指教,谢谢了

加载中
1
風一樣的男子
風一樣的男子
后台不验证,完全依赖前台传来的数据,活该!
0
encro
encro
不要详细用户输入的订单金额,最后都是要验证的,重新计算。基本原则。
0
嘟嘟的米
嘟嘟的米
这明显是你的设计缺陷。购物车的订单金额是你最后根据商品来计算出来的 而不是用户提交来的。
丁工
丁工
@嘟嘟的米 session 也不可靠?
嘟嘟的米
嘟嘟的米
回复 @chary : 订单的原则是你要最后支付前 你的订单数据都是靠程序算出来的 不能靠前端传递 用户输入的数据都是不可信的 这是原则
丁工
丁工
hacker是不是修改了数据包?
0
PYZWORLD
PYZWORLD
永远不要相信你的用户
丁工
丁工
前任遗留的问题,用session存储订单,直到支付时才入库。其实我想知道有没办法避免hacker这样的修改
0
小小的夏
小小的夏
看评论,受教了。。。
0
阿伏流
阿伏流
给个网址 我教你怎么改。
0
skyline520
skyline520
额 修改方式可能有很多吧,只是我不知道
0
浏览者
浏览者
做web开发的基本原则之一,永远不要相信用户提交的数据。订单这里一定是要在用户提交以后重新计算的。
0
丁工
丁工
session 有没可能被窃取并修改?
谁在秋千
谁在秋千
Session是可以被注入修改的。
sami
sami
可能 比如apache的session存储在文件中
0
阿伏流
阿伏流
你都不给网站地址怎么给你解决
返回顶部
顶部