安全测试 请教支付功能的安全测试

wxpokay · 2015年05月22日 · 最后由 天荧 回复于 2016年05月17日 · 365 次阅读

公司的 app 需要增加支付功能,以前从来没接触过支付方面的功能,希望大家能指点迷津,特别是安全方面,需要测哪些东西?

共收到 26 条回复 时间 点赞

测试数据的本地存储、网络传输,还有支付涉及到客户端、服务端多方的数据一致性

关注,虽然没接触过,但是对这个问题比较感兴趣:怎么应对反编译得到的请求伪造法?

是不是我来回答。。= =

#4 楼 @monkey 那你回答呀~

是整个支付系统吗?
只是一些思路了,整体的还很多的。

钱和交易状态是关键。

支付超时。。
重试(通知)。。
重复支付。。
支付账号非下单账号。。
未登录支付。。
支付失败。。

另外,你支付接入的渠道,银联,支付宝扫码,支付宝 sdk,微信 SDK 等等。。

要用 Fiddler 修改报文,或 DevTools 找 JS 打断点,改数据库。

另外,你们设计网关不?

楼主抛个问题,底下的人回答的很认真,那希望楼主能整理下,做个汇总贴。其他人别跟着水了。

  • 篡改 (打包党) 破解(计费、授权)、加病毒、广告、应用推广
  • 账号、密码窃取
  • 漏洞 xss、本地 db 注入、数据泄露(cookie 等)
  • 代码注入、反编译、界面劫持

我听过的这些

是的, 赞 Monkey,安全和测试完全是两码事儿。
安全是个大课题,android 安全建议阅读《android 软件安全与逆向分析》ios 就是《iOS 应用逆向工程》。
但是如果你们的产品只是调用别人的 sdk 的话,涉及不到那么多安全的东西,只要保证你的支付业务逻辑正确,数据的一致性,密码和账号的数据保护应该就差不多了。

#8 楼 @lihuazhang 一定,等我这个版本完工了,一定要总结分析出来

#10 楼 @monkey 大家都太暖了,很满意 monkey 的解答,感谢

#7 楼 @lucasluo 从需求上来看,像微信支付,支付宝支付,银联支付都是调用的他们的,但是也有一个是自己平台,谢谢你的答案,对我帮助很大

头像很 nice 安全水很深

#15 楼 @kasi @monkey 怪不得这么多人回答. 原来都被妹子头像吸引了

#16 楼 @seveniruby =。=。。其实不是妹子么。。。。

#17 楼 @monkey @seveniruby @kasi 机智如我,网上找了个美女图,差点忘了,我真的是妹纸

#18 楼 @wxpokay 这就没有人信了。。。。

我只是进来看看,发现近期不是安全就是性能的问题回帖最多啊

#20 楼 @kasi 大家对于这方面的知识太渴求了

先赞一个

#18 楼 @wxpokay 4 个月了,也没见你整理。

呵呵,妹子的头像不能放大。

wxpokay 第三方支付的一些安全测试总结 中提及了此贴 12月15日 14:39
1楼 已删除
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册