蚂蚁金服

蚂蚁金服"/>

蚂蚁金服

案例：使用支付宝购买虚拟商品，往支付宝跳转时，篡改了小的金额，结果购买虚拟商品成功了。（原本10元的商品，0.01元就搞定了）。

• 支付都是与第三方支付（支付宝、微信、财付通、QQ钱包、短信支付等）进行对接，那么，是否了解了第三方接口有哪些？是否都能清楚我们的产品与第三方是如何交互的？是否能画出流程图？
  
  
  
  下单接口，支付接口，退款接口，支付订单查询接口，退款订单查询接口

• 异常场景有哪些？ 有哪些风险，如何规避？

  • 用户购买100元游戏币时，前往第三方支付跳转进行金额的篡改由100元改成0.01元，结果就拿了0.01元充值了100元的游戏币。对订单金额没有做校验导致这样的后果，损失比较大。大家在测试的过程中一定要注意对服务端进行校验，支付时数据的篡改一定要有校验。（商户向支付宝发送支付请求，使用Fidder等工具进行数据串改）（以前使用SSL/TLS进行HTTP对称加密，目前很多请求都使用证书进行密钥加密，直接篡改成功率低）（腾讯刷黄钻）。

  • 当同步、异步通知都存在的情况的，异步通知（第三方支付成功后台通知），没有到账，导致部分用户充值不到账，引起客诉。当同步、异步并存的时候，一定要分别对同步和异步进行检验，确保都能正常到账。（第三方支付成功，但是商户系统还没有接到通知，或则说处理未及时，使得交易未能立马执行，因此支付完成到成功事务完成之前，确保交易先要执行，才能支付成功）（这种情况需要进行基于异步请求但是需要保证事务同步处理）。

• 可被篡改的两个点：Before Requests、After Responses。