最近要测一个支付组件,功能比较简单,客户端将订单上传到服务器,服务器创建订单后调用第三方支付接口进行支付。
测试的关注点就在这个订单上传的接口,现在设计的方案是 https 传输,然后参数需要签名。订单上传到服务器之后只验证签名,没有向商户服务器校验订单。
这样设计担心的一个点就是 https 报文能否被截获?如果被截获的话修改订单信息就会出大问题。
另外,支付组件是商户 apk 来调用的,商户 APK 调用支付组件的过程中,也没有可能订单信息被篡改?
4 月 5 日更新
客户端的安全测试可以直接上传到阿里云测完成,非常好用与省事!
看了这个帖子HTTPS 抓包,发现 https 并不是牢不可破,照着里面的抓包方法试了下,很多应用的请求都被抓出来了。。。
回头写一个精简包的抓 https 方法,帖子里面的略复杂
个人观点仅供参考,HTTPS 抓包是容易,没证书你想组包就不容易了。如果服务器只支持 HTTPS,破解的难度还是很大的。
签名干嘛用的? 就是用来防止数据包截获并被修改的,这种情况下你们的验签还能通过?
那只能说你们的签名设计根本没用心