衣联网 通过第三方混合支付出现的金额漏洞

丶流忆 发布于 2014/06/27 19:58
阅读 415
收藏 1

漏洞出现的情景:

1:下两个订单,用户帐号上有余额,且余额不足于支付两个订单中的任何一个,两个订单要不同的浏览器。

2:两个订单都跳转到支付页面,选择混合支付,点击支付跳到支付宝(已支付宝为例),此时两个订单都跳转到支付,且还没完成支付。

3:先支付完成一个订单,在支付完成另外一个订单。

4:两个订单都支付完成后,查询用户的余额发现为负数了,假如原来的可用余额为10元,现在的可用余额为-10了,也就是说两个订单共用了

一个可用余额,一个订单完成后,扣完余额,此时余额为0了,另一个订单再去扣用户的余额,然后用户的余额就出现负数了。

中午提给你了,现在如果还没修复的话。。。。。


加载中
0
mingshun
mingshun
没有正确处理并发的情况
0
c
cloudcheng
这个问题很严重。
丶流忆
丶流忆
技术团队小点的电商网站,很容易忽略这个漏洞
0
南湖船老大
南湖船老大
楼主不厚道啊,这种小网站楼主你也好意思吐槽么,别欺负人家呀。看着就像ecshop这类玩具二次开发的
0
石头和面包
石头和面包
路过,看看
0
爱吃大肉包
爱吃大肉包
没有检查订单的状态,应该在第一个订单支付完成的时候这笔订单就已经完成支付了,第二笔订单支付加到用于的余额账户上去了, 或对账时进行退款。  和并发关系不大,业务逻辑上有问题。
返回顶部
顶部