移动测试基础 支付除了正常的支付测试,还有什么需要注意的事项 (例如安全)

努力努力再努力 · 2019年11月23日 · 最后由 薄荷可乐 回复于 2019年11月28日 · 3533 次阅读

1.虽然自己做了很多支付 (paypal,payssion,银联,微信 H5..),但是对于支付自己所了解的就是支付接口参数加密之后的对比,正常的发起支付
2.望各位给出自己支付注意的事项,怎样才算支付测试的正确姿势

共收到 12 条回复 时间 点赞

借楼同想了解一下如果 native 接的谷歌支付,要测哪些点,有什么坑

支付这个链路也太长了……涉及到好多团队呢

没测过多少支付,我一般看两块。支付接口本身有没有问题,比如对各类金额、超大金额、转码金额等,限制能不能绕过,接口用的技术本身有没有问题,比如 XML 类,有没有 XXE 等。另外就是支付功能,能不能改价格,能不能绕过一些验证,并发支付、多次支付、回退支付、支付撤销等等。支付测试我反正比较头疼,风险大,网上大神多,出点问题估计就要被开。。。

恒温 回复


在百度里跳不过来链接

别理百度。。。

第三方支付的流程一般都是:

  1. 商户发起新订单,即用户在前端点击购买
  2. 支付平台生成订单号并返回订单号,支付金额(可能涉及汇率换算)等信息。 3.引导用户到对应的支付界面。这部分通常是支付平台提供的。 4.用户完成支付,支付平台进行校验。
  3. 支付平台讲支付结果返回商户。 6.商户根据支付结果进行校验并进行发货处理。

作为商户方要留意:

  1. 是否支付成功,要以支付平台的返回为准。所以最好是 Server to Server 的通信,并且加上 IP 白名单过滤。

  2. 做好支付的校验,一般支付平台会提供校验方式,注意在服务器端处理和保密。

3.建议增加二次校验,即支付平台返回一个支付结果回调一样,再主动到对方校验一次。

4.做好重复性校验,即同一笔订单不要重复发货。

5.做好商品和订单、支付金额的校验,防止收到小额商品的金额,发了大额商品的货。

6.支付平台一般会有沙盒环境,注意要做好测试订单的区分和控制,防止被测试订单刷单。

7.做好定时的对账处理,遇到异常订单可以及时止损。

8.做好监控,如果用户频繁购买或大额购买,可能是异常行为。

Jerry li 回复

目前我做的是 sdk,对接 cp,期间接了银联支付,微信 jsapi,paypal,微信 H5,但是你这个太笼统了,回答太官方了😂

做 SDK 就是要做支付平台和商户间的桥梁,上面这些都是要考虑的。
笼统? 你的问题两点,我给你说了八点啊大哥

恒温 回复

百度的抓取有问题

服务器一定要做好各种验证,不要相信前端传过来的参数
比如充值 id 对应的金额、物品数量、购买次数什么的

  • 密码、密钥等一系列与身份验证相关的加密、防泄漏问题

  • 防伪造、篡改信息问题

  • 手机、图形等一堆验证信息,控制有效时间、有效范围问题

  • 用户信息隐私问题

  • 客户端安全问题(如:xss、csrf 等)

我有个问题,支付系统重构,数据迁移到新库,怎么做数据校验?

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册