(中文) [安全漏洞][案例#004][WEB]富邦網路特店收單[信用卡](台北富邦銀行)

案例#4

富邦網路特店收單(信用卡)

Yang 聲明

此為研究案例,目的在於讓各位了解 APP 開發時嚴謹性及需要注意資安的重要。

請勿直接使用此文章方法。

購物付款流程

首先先介紹整個購物付款流程

流程請參考 [安全漏洞][案例#002][WEB]歐付寶金流整合(信用卡)

漏洞檢視:

1 透過 client 端裝置(瀏覽器)進行資料傳送。駭客可以攔截修改這些轉址時所夾帶的內容。

當透過富邦信用卡平台完成交易後,銀行端會透過我們的瀏覽器傳回資料到商家網站

網址如下:

http://mywebsite.com?MERCHANTID=xxxxxxx&TERMINALID=xxxxxx&ORDERID=xxxxx&

TRANSAMT=5000&TRANSMODE=0&TRANSDATE=20170926&TRANSTIME=203900&
RESPONSECODE=0&RESPONSEMSG=&APPROVECODE=12345&SYSORDERID=12345&
BATCHNO=123456&TRANSCODE=00

2 僅需修改紅字部分。

將 TRANSAMT改為正確金額,RESPONSECODE改為0然後送出後,可以讓「購物網站」以為真的有付款成功

修改前購物車結果

螢幕快照 2017-09-28 上午9.50.15

修改後購物車結果:

螢幕快照 2017-09-28 上午9.51.09

作者早先有致電富邦反應此問題,但他們的回覆是做法不會修改。建議是事後去富邦後台查詢是否真的有入帳,或是透過查詢交易明細的API查詢。

如果有其他網物商店需要串接富邦,建議不要直接拿回傳的結果當作成功交易的依據,這是會有風險的

Tags :

0 thoughts on “(中文) [安全漏洞][案例#004][WEB]富邦網路特店收單[信用卡](台北富邦銀行)”

Leave a Reply

Your email address will not be published. Required fields are marked *


4 − two =

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>