微擎漏洞修复.docx

微擎漏洞修复2017/2/17/09/49微擎漏洞主要针对【种果得果】版本的【人人商城模块】，新版商城为【人人商城】改编的【芸众商城】，芸众版未经过公司实际运营淬炼，并不知漏洞是否存在，下面修复结合人人版修复，可能存在多余或者未发现的潜在漏洞,其他模块不考虑。漏洞一：微擎一分钱漏洞一分漏洞主要针对微信支付，支付成功后商城有同步（pay方法中的入口,不是所谓微信的称呼）和异步两次修改订单状态（不管是否为真），可模拟发送支付回调数据进行订单修改，所以此处需要做两步操作：一：把订单相关的业务逻辑写在回调里，干掉同步系统同步时的状态修改入口。相关文件/addons/sz_yi/core/mobile/order/pay.php找到$operation == complete中的$type == weixin此处只要将原有的type类型改为shenser(自定义)，即可防止此处入口篡改订单状态对应model文件修改/addons/sz_yi/core/model/order.php找到payResult方法订单状态住增加分支阻止系统pay方法入口，这样可以保证微信支付后订单只能经过回调处理二：增加回调二次验证相关文件/addons/sz_yi/payment/wechat/notify.php大概第40行处增加接收回调中的金额大概68处找到分支增加回调金额与日志表金额对比，正常来说此处做完已经ok，但是不够放心,所以增加增加商户订单二次验证，保证确定收到钱此处增加shenser用于payresult方法中微信支付的二次验证如增加微信扫码支付的也可进行上面类似同样操作此时微信支付一分漏洞已经完毕！漏洞二：支付宝支付同步漏洞支付宝在微信中只能通过其他浏览器进行支付，所以平台跳转期间支付链接暴漏明显，一些狗逼可以系统同步时篡改掉订单状态，所以依旧采用最粗暴的方式处理，那就是----干掉！相关文件/addons/sz_yi/core/mobile/order/pay.php找到$operation == returnReturn 掉程序执行，保证逻辑只在回调中处理其他第三方支付也是如此漏洞三：余额支付余额支付要防止狗逼造成的log表金额为负数，增加如下种果版商城抵扣已被狗逼需求改到令人发指！以下主要针对种果版商城，原本商城抵扣是个什么卵样流程，已经不记得，但是不管严不严谨，参考下面的思路也可以更加安全。此处主要防止狗逼利用待支付订单继续抵扣，狗逼的方法主要是利用商城抵扣过的待支付订单进行重复支付，此时需求又与框架相违背，无法有效避免这种情况发生，以上代码外理论上已经ok，但是提心吊胆的我仍是建议干掉商城待支付列表！狗逼也会利用系统推送进行操作，所以最好连带订单待支付推送一并干掉！漏洞四：余额负数提现相关文件/addons/sz_yi/core/mobile/member/withdraw.php漏洞五：余额充值此处仍是采用回调处理，粗暴的干掉一切($operation == complete)中的第三方支付状态更改入口即可！漏洞六：卡券充值余额此处是最不好掌控的一块，微擎系统统一采用mc账户表为资金表，所以狗逼会利用系统的其他模块个人中心进行卡券充值，也不仅仅是卡券方式~所以在不考虑其他模块是否有影响的情况下，干掉系统的部分文件干掉/app/source/中的mc