移动安全测试 Https+ 签名的订单上传接口设计安全吗?安全测试设计如何入手呢。

张可 · 2016年04月01日 · 最后由 jacexh 回复于 2016年04月02日 · 2735 次阅读

最近要测一个支付组件,功能比较简单,客户端将订单上传到服务器,服务器创建订单后调用第三方支付接口进行支付。
测试的关注点就在这个订单上传的接口,现在设计的方案是 https 传输,然后参数需要签名。订单上传到服务器之后只验证签名,没有向商户服务器校验订单。
这样设计担心的一个点就是 https 报文能否被截获?如果被截获的话修改订单信息就会出大问题。
另外,支付组件是商户 apk 来调用的,商户 APK 调用支付组件的过程中,也没有可能订单信息被篡改?

4 月 5 日更新

客户端的安全测试可以直接上传到阿里云测完成,非常好用与省事!

共收到 5 条回复 时间 点赞

看了这个帖子HTTPS 抓包,发现 https 并不是牢不可破,照着里面的抓包方法试了下,很多应用的请求都被抓出来了。。。
回头写一个精简包的抓 https 方法,帖子里面的略复杂

个人观点仅供参考,HTTPS 抓包是容易,没证书你想组包就不容易了。如果服务器只支持 HTTPS,破解的难度还是很大的。

签名干嘛用的? 就是用来防止数据包截获并被修改的,这种情况下你们的验签还能通过?
那只能说你们的签名设计根本没用心

#3 楼 @jacexh 签名只能防修改吧

#4 楼 @kesha0 流量被监听是不可避免的,要做的只能是保证数据不被篡改

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册