蚂蚁金服"/>
蚂蚁金服
案例:使用支付宝购买虚拟商品,往支付宝跳转时,篡改了小的金额,结果购买虚拟商品成功了。(原本10元的商品,0.01元就搞定了)。
-
支付都是与第三方支付(支付宝、微信、财付通、QQ钱包、短信支付等)进行对接,那么,是否了解了第三方接口有哪些?是否都能清楚我们的产品与第三方是如何交互的?是否能画出流程图?
下单接口,支付接口,退款接口,支付订单查询接口,退款订单查询接口 -
异常场景有哪些? 有哪些风险,如何规避?
-
用户购买100元游戏币时,前往第三方支付跳转进行金额的篡改由100元改成0.01元,结果就拿了0.01元充值了100元的游戏币。对订单金额没有做校验导致这样的后果,损失比较大。大家在测试的过程中一定要注意对服务端进行校验,支付时数据的篡改一定要有校验。(商户向支付宝发送支付请求,使用Fidder等工具进行数据串改)(以前使用SSL/TLS进行HTTP对称加密,目前很多请求都使用证书进行密钥加密,直接篡改成功率低)(腾讯刷黄钻)。
-
当同步、异步通知都存在的情况的,异步通知(第三方支付成功后台通知),没有到账,导致部分用户充值不到账,引起客诉。当同步、异步并存的时候,一定要分别对同步和异步进行检验,确保都能正常到账。(第三方支付成功,但是商户系统还没有接到通知,或则说处理未及时,使得交易未能立马执行,因此支付完成到成功事务完成之前,确保交易先要执行,才能支付成功)(这种情况需要进行基于异步请求但是需要保证事务同步处理)。
-
-
可被篡改的两个点:Before Requests、After Responses。
更多推荐
蚂蚁金服
发布评论