漏洞总结 漏洞概述 这是一个Stripe支付重放攻击漏洞。代码在处理Stripe PaymentIntent时,未正确检测和拒绝重复的支付凭证(credential),导致攻击者可以重复使用相同的支付凭证进行多次支付。 影响范围 受影响文件: , , 影响版本: mppx@0.5.11 之前版本 具体风险: 同一支付凭证可被重复利用,造成重复扣款或支付欺诈 修复方案 1. 类型定义增强: 在 类型中添加 字段,用于获取Stripe API响应头信息 2. 重放检测逻辑: 检查响应头中的 标志,若该标志为 则拒绝支付 3. 错误处理: 当检测到重放请求时,抛出 ,提示 "Payment has already been processed" 关键代码变更 类型定义 ( ): 重放检测逻辑 ( ): createWithClient函数: createWithSecretKey函数: 测试用例 (POC/验证代码)