2020年春节即将来临。 我们接到新聚合支付平台网站客户的求助电话。 反映支付订单状态由未支付变为已支付，导致商户直接将订单发货给会员。 商户和平台损失巨大，很多码商不敢使用这个支付平台。 为了防止聚合支付系统继续受到攻击，在了解了赛能的总体安全情况后，我们立即安排了具有十年经验的安全工程师，成立了聚合及渠道支付平台安全应急响应小组。

分析并了解付款流程

我们对整个第三方支付平台网站的流程进行了分析如下。 平台首先要连接上游支付通道，然后上游支付通道将支付状态返回给平台，再将平台状态返回给商户（即扫码商户），首先扫码商户注册平台的商户用户，然后从商户用户后台获取接口对接程序，并与代码商户自己的网站进行调试。 商户会员对订单进行支付，支付成功后会从平台获取支付状态。 平台从上游通道获取状态并回调给自己平台。 目前接口大部分是拼多多渠道和企业渠道进行个人二维码对接，俗称聚合支付。

支付漏洞安全原因和症状

1、发现打码商户下的会员订单未成功支付，导致平台支付状态被黑客修改为已支付，因此回调数据给商户表明支付已完成，导致订单处于成功状态，商家必须发货。 给会员送钱（即给会员送积分）恶意提款，给商家造成严重损失。

2、发现商户申请提现时收款人信息被篡改，导致商户资金被冒领。 很多码商都非常重视这一点，几乎都是日常结算。 而且平台每天都会释放一定数量，几乎全部被群里收集。 它对资金非常敏感，非常重视。

3、发现部分订单被删除，导致对账不畅。 商户结算的金额与上游渠道结算的金额始终不对应，导致利润减少。 事实上，这是因为黑客删除了订单，商家的成功金额增加了，但上游渠道结算金额增加了。 通道中的金额没有增加。

网站漏洞安全日志检查与分析

了解了以上问题后，我们就知道了问题的具体症状以及整个支付流程。 我们安排了正弦安全工程师团队快速响应，找出漏洞关键，将客户损失降到最低。 然后我们登录支付平台网站服务器。 对程序代码进行审计和分析，发现该程序采用TP架构（）来共同管理后端和前端。 我们对比了程序代码的功能函数，查看支付过程中的函数是否被权限调用，发现后端的登录在这里被作弊，无需密码即可使用内置函数任意登录，如图：

通过get这个功能，可以直接随意登录后台。 我发现这只是其中之一。 登录后台后可以设置订单的状态，但这不是黑客的操作方式，因为如果从后台手动更改状态，则会在支付成功状态的数据库表中添加一个数据时间戳，而黑客的方法被篡改的支付状态没有这个时间戳，也就是说不是通过后台修改的，而是通过直接执行SQL语句或者直接修改数据库来实现的。 知道问题原因后，我分析了程序中的其他文件，看看是否存在脚本后门。 果然发现了后门，其中几个可以直接操作数据库，如下：

发现程序中存在大量后门文件和隐藏的一句话后门木马。 通过我们SINE工程师的渗透测试服务，我们发现商户的功能图片上传存在漏洞。 PHP格式的后门文件可以随意上传，导致入侵。 在订单查询功能中找到了。 存在一个 SQL 注入漏洞，允许更新语句执行数据库修改。 随后我们立即修复了这三个网站的漏洞，清理了木马后门和隐藏后门。 让平台开始运行3天，观察是否被篡改。 截至目前，尚未出现涉及订单状态篡改攻击的安全问题。

第三方支付平台网站安全防护建议

新平台上线前，需要渗透测试漏洞，严格定义和转换SQL注入语句，将这里上传的格式列入白名单，严格比对网站支付回调并获取状态，比如在sgin上来回匹配。 比较并验证签名以查看是否存在篡改值。 如果被篡改，则直接返回数据并报错。 如果您对程序代码安全问题不熟悉，不专业，建议找专业的网站安全公司来处理。 国内的等公司都比较好。 神盾安全、绿盟科技、启明星辰等都是比较大型的网站安全服务商。