支付漏洞

常见支付漏洞：
1、修改支付价格：在订购—订单—付款三个步骤中任意一个抓包尝试修改参数，观察是否有验证，若无验证，则可修改。
2、修改支付状态，尝试把已完成订单修改为未完成订单。
3、修改订单数量，一般修改为负数达到价格降低的效果
4、修改附属值，比如原本优惠券只能使用一张，抓包修改为多张。
5、越权支付，修改自己的ID，使用别人的账户付款。

挖掘方法:抓包，分析参数，修改参数验证。
防御方法：
1、后端检查每一项值，包括支付状态。
2、校验价格、数量参数，比如产品数量只能为正整数，并限制购买数量
3、与第三方支付平台检查，实际支付的金额是否与订单金额一致。

4、支付参数进行MD5 加密、解密、数字签名及验证，这个可以有效的避免数据修改，重放攻击中的各种问题
5、金额超过阈(yu)值，进行人工审核