本發明公開了一種數值轉移方法及裝置，屬于信息安全領域。所述方法包括：在接收到網頁頁面發送的第一訂單的訂單參數和簽名后，根據訂單參數和簽名檢測簽名是否正確；在簽名正確時，檢測訂單參數中是否包含第一預定字段，且第一預定字段的值為預定數值；當訂單參數中包含第一預定字段且第一預定字段的值為預定數值時，向網頁頁面發送第一錯誤碼，并禁止繼續執行第一訂單對應的數值轉移操作。本發明解決了實際支付場景中，使用代理工具跳過部分邏輯校驗流程，繼續調用支付CGI完成支付，導致用戶的賬戶和資金得不到安全保障的問題，達到了在實際支付場景中使用代理工具時，禁止執行支付操作，保護用戶的賬戶和資金安全的效果。

技術領域

本發明實施例涉及信息安全領域，特別涉及一種數值轉移方法及裝置。

背景技術

在進行支付操作時，通常在完成支付之前，支付系統需要對支付操作進行一些邏輯校驗，比如手機號校驗、驗證碼校驗等，邏輯校驗的目的是確認支付操作是否為用戶本人操作。

支付系統在執行支付流程時，通常包括：終端上的網頁頁面和服務器上的各種CGI(Common Gateway Interface，通用網關接口)之間的多次交互操作。以CGI包括身份校驗CGI和支付CGI為例，網頁頁面將用戶輸入的身份驗證相關的參數發送至身份校驗CGI，身份校驗CGI對參數進行校驗，校驗成功后，身份校驗CGI向網頁頁面返回確認消息，然后網頁頁面將支付相關的參數發送至支付CGI，支付CGI對參數進行校驗，檢驗成功后完成支付操作，向網頁頁面返回支付已完成消息。在支付場景的開發或測試中，技術人員經常在終端中使用代理工具(比如Fiddler)通過抓包并修改網頁頁面的參數或各個CGI的參數來測試不同的支付場景，也就是說，代理工具通常被技術人員用于支付場景的開發或測試。但在實際支付場景中，若惡意用戶使用代理工具，則網頁頁面在向身份校驗CGI發送身份驗證相關的參數時，代理工具可以截獲網頁頁面發送給服務器的身份校驗CGI請求，然后偽裝成服務器向網頁頁面返回確認消息，這種情況下無論用于身份驗證的參數是否正確，網頁頁面都能接收到確認消息，從而繞開了實際的身份驗證過程，網頁頁面在向支付CGI發送支付相關的參數時，代理工具可以將輸入給支付CGI的參數進行修改，讓支付CGI在校驗時認為之前的身份驗證已經確認，從而使得網頁頁面成功調用支付CGI完成支付。

由于惡意用戶將代理工具用在實際支付場景中時，支付系統可能會跳過一些類似身份驗證的邏輯校驗流程，繼續調用支付CGI完成支付，從而導致普通用戶的賬戶和資金得不到安全保障。

發明內容

為了解決現有技術中在實際支付場景中使用代理工具跳過類似身份驗證的邏輯校驗流程，繼續調用支付CGI完成支付，導致用戶的賬戶和資金得不到安全保障的問題，本發明實施例提供了一種數值轉移方法及裝置。所述技術方案如下：

第一方面，提供了一種數值轉移方法，所述方法包括：

在接收到網頁頁面發送的第一訂單的訂單參數和簽名后，根據所述訂單參數和所述簽名檢測所述簽名是否正確，所述訂單參數包括簽名前的各字段的參數值，所述簽名是根據所述訂單參數按照預定數字簽名規則得到的；

在所述簽名正確時，檢測所述訂單參數中是否包含第一預定字段，且所述第一預定字段的值為預定數值，所述第一預定字段用于指示是否使用代理工具，所述第一預定字段的值為所述預定數值時表示使用代理工具，所述代理工具是指將被訪問的服務器的資源代理為本地資源的工具；

當所述訂單參數中包含所述第一預定字段且所述第一預定字段的值為所述預定數值時，向所述網頁頁面發送第一錯誤碼，并禁止繼續執行所述第一訂單對應的數值轉移操作。

第二方面，提供了一種數值轉移方法，所述方法包括：

在打開網頁頁面時，檢測終端是否正在運行代理工具，所述代理工具是將被訪問的服務器的資源代理為本地資源的工具，所述網頁頁面是需要檢測是否運行所述代理工具的頁面；