畅途网支付漏洞+xss反射 - 网站安全 - 自学php

1.畅途网跳转到网银支付中间环节可以修改支付金额，造成支持 漏洞 。并且每笔订单可以无限制刷新，没有设置失效机制。

2.汽车票预定、时刻表查询、汽车站查询没有对特殊参数进行过滤，导致可以嵌入任意代码或者返回用户敏感信息。

 

 

 

修复方案：

1.支付模块加入防修改机制和订单失效机制。

2.过滤特殊参数，字符。

查看更多关于畅途网支付漏洞+xss反射 - 网站安全 - 自学php的详细内容...