最近要测一个支付组件,功能比较简单,客户端将订单上传到服务器,服务器创建订单后调用第三方支付接口进行支付。
测试的关注点就在这个订单上传的接口,现在设计的方案是 https 传输,然后参数需要签名。订单上传到服务器之后只验证签名,没有向商户服务器校验订单。
这样设计担心的一个点就是 https 报文能否被截获?如果被截获的话修改订单信息就会出大问题。
另外,支付组件是商户 apk 来调用的,商户 APK 调用支付组件的过程中,也没有可能订单信息被篡改?
客户端的安全测试可以直接上传到阿里云测完成,非常好用与省事!