银行测试：第三方支付平台业务流，功能-性能-安全测试方法

1、第三方支付平台的功能和结构特点

在信用方面，第三方支付平台作为中介，在网上交易的商家和消费者之间作一个信用的中转，通过改造支付流程来约束双方的行为，从而在一定程度上缓解彼此对双方信用的猜疑，增加对网上购物的可信度。

在技术层面，第三方支付平台承担安全保障和技术支持的作用，提供一系列的应用接口程序，支持多家银行的多卡种支付，将多家签约银行的支付方式整合到一个界面上，负责交易结算中心与银行的对接。

银行与商家通过接入第三方支付平台实现二次结算，并采用国际先进SSL加密模式，在银行、消费者和商家之间传输和存储资料。

第三方支付服务商所提供的支付系统能够承载很大的数据量、吞吐率，并具有极高的支付成功率。同时还可以根据不同用户的需要，对界面、功能等进行调整，增加个性化和人性化的特征。

目前国内出现了数百个第三方支付平台，这些平台的业务模式和技术实现方法不尽相同，但平台的结构则具有一个相似的基本点，即第三方支付平台前端直接面对网上客户，平台的后端连接各家商业银行，或通过人民银行的相关支付系统连接各家商业银行。

2、第三方支付平台业务流分析

根据电子支付产业链的分析我们看到，第三方支付最初的支付模式只是作为银行和网上商户的中介，这就是第三方支付“一般模式”；

随着支付业务的发展，小商户和网民之间的信用风险导致了“提供担保”的支付模式。

第三方支付一般模式的流程：

消费者通过第三方网上支付平台进行支付一般必须涉及到发卡银行(网银)、网上商户和第三方网上支付平台。

一般支付流程如下：

1）网上消费者浏览检索商户网页，并在商户网站选择商品、下订单；

2）商户网站列出可以选择的支付网关，消费者选择其一，商户网站将连接到第三方支付网关的支付页面；

3）网上消费者在第三方支付平台的支付页面，选择相应的银行、卡种；

4）第三方支付平台将网上消费者的支付信息，按照各银行支付网关的技术要求，传递到各相关银行，进入银行支付页面；

5）银行(银联)提供输入卡号、金额、密码等关键信息的安全页面；网上银行转发给银行账务系统，由相关银行(银联)检查相应账户(网上消费者)的支付能力，实行冻结、扣账或划账，并将账务系统的处理结果返回给网上消费者本身和第三方支付平台；

6）第三方支付平台将支付结果转发给网上商户；

7）网上商户确认收到成功支付应答的，向网上消费者发货或提供服务；

8）第三方平台根据协议于第二天或约定的周期向商户支付扣除手续费后的资金；第三方平台为网上商户提供差错交易处理的服务；

9）第三方平台作为商户与网上银行对帐，核对资金、核对；第三方平台代表网上商户与网上银行处理差错交易。

从整个过程上来看，多家银行和签约商家通过支付网关连成通道，消费者通过第三方支付平台付款给商家，通过第三方支付为商家提供一个可以兼容多银行支方式的接口平台。

第三方支付担保模式的流程：

第三方支付担保模式，也称为信用中介型模式。该种运营模式，基本是由大型的电子交易平台独立开发或与其他投资人共同开发，凭借运营商的实力和信誉与各大银行合作，同时能够为买卖双方提供中间担保的第三方支付运营模式。

这种模式的运营商主要是借助电子交易平台和中间担保支付平台与用户开展业务，在交易过中采用充当信用中介的模式，保证交易的正常进行。

以支付宝支付模式为例，其具体运行流程是：

1）买家确定购买之后从支付宝的个人账户中划拨出来，保留在支付宝监管账户中；事先用户应当保证账户中有足够的资金；如果余额不足，支付宝会自动跳转到充值页面，让客户通过网银充值；

2）支付宝扣账成功后，通知卖家发货；

3）卖家通过其配送渠道向买家发货；

4）待买方收到商品并确认无误后，通知支付宝收到货物；

5）支付宝将监管账户中资金划拨到卖家在支付宝的账户中。

支付宝作为代收代付的中介，主要是为了维护网络交易的安全性。

在网上交易中， 客户在商家网站下订单后，先把货款付给大家都信任的第三方中介机构，在商家知道货款己到第三方中介机构后把货物发送给客户。

如果客户对货物满意，货款就通过第三方中介机构付给商家；如果不满意，客户把货物返回给商家，并从第三方中介机构处取回货款。

3、第三方支付平台测试方法

从上述的两种支付流程来看，作为网络交易的主要支付渠道，第三方网上支付平台在发卡银行、网上商户间提供了接口平台，在电子支付产业链中起到重要的中介作用。

面对这样的电子化信息系统及其网络交易中可能存在的风险。

我们不得不实时地关注：第三方支付业务的流程是否能够正确实现、功能是否正确、网上大量客户的并发交易会不会导致支付系统崩溃、支付系统的不稳定或者互联网诚信体系的不健全会不会影响网上购物和交易等等问题。

目前亟待解决的问题就集中在：

如何通过有效地方法和策略以验证第三方支付系统的功能是否正确实现；
是否会造成网络拥堵及如何通过现有的网络技术如Internet
Web、数据加密、防火墙技术、各种交易协议、客户端浏览技术和软件等，使得客户和商家能透明安全地进行交易等。

因此，为了防范第三方支付系统的交易风险，保障系统的稳定运行，必须考虑采取强有力的措施加以管理和控制，积极地引入软件测试，强化系统质量测试和安全评估，为网络交易支付系统提供可靠地服务保证。

同时，我也为大家准备了一份软件测试视频教程（含面试、接口、自动化、性能测试等）， 就在下方，需要的可以直接去观看，
也可以直接点击文末小卡片免费领取资料文档

软件测试视频教程观看处：

软件测试工程师大忌！盲目自学软件测试真的会毁终生，能救一个是一个…

4、第三方支付系统的功能、性能及安全性的测试方法

1）功能测试方法

在对第三方支付平台实施测试过程中，应采用黑盒测试策略，使用等价类划分、边界值分析、因果图法、判定表法、正交试验法、功能图法等测试用例设计方法的原理与实现。

分别对第三方支付系统的功能、第三方账户和交易风险监控、系统性能及安全性等测试指标项进行测试。黑盒测试法应制订覆盖全部功能模块的测试用例，通过执行测试用例以实现系统功能、业务流程和其它质量特性的测试。

针对第三方支付平台的业务功能，如“会员管理、账户管理、中间账户资金管理、差错处理、资金结算、对账处理、统计报表”等等。

应综合应用各类测试设计方法：

首先对业务流程进行等价类划分，设计的测试用例应是业务主流程和流程主分支的最小集，所有的判别分支都能被覆盖，在流程覆盖的同时，完成等价功能的测试；

采用边界值分析法，针对功能说明中的输入输出域，进行边界值和极限值的设计和测试；

采用逆向思维方式，结合以往测试经验和直觉设计软件在功能和流程上可能存在的各种错误，靠经验用错误推测法追加一些测试用例，进行容错性测试；

针对程序功能说明有各种输入条件组合的，用因果图和判定表驱动法进行测试；参数配置类的情况，用正交试验法选择较少组合方式达到最佳效果；

功能图法通过不同时期条件的有效性设计数据；

对于业务清晰且复杂的系统利用场景法贯穿整个测试过程。

2）性能测试方法

性能测试使用并发负载、大数据量、速度、网络故障分析及性能优化、网络应用性能监控等测试方法。

在性能测试时，通过构建与真实环境相同配置、数据规模满足系统未来三年业务发展需要的压力测试环境，采用自动化测试工具模拟最终用户向服务器发起业务请求，创建压力测试脚本程序，对测试过程中系统各点进行资源监控，最后形成压力测试结果分析报告。

采用并发性能测试方法，模拟不同数量并发用户执行关键业务，如“支付、退款、预存”等。

测试系统能够承受的最大并发用户数，在进行负载操作压力测试的同时，用测试工具对数据库服务器、应用服务器、认证及授权服务器上的操作系统、数据库以及中间件等资源进行监控。

大数据量测试主要包括单独的数据量测试及与并发性能测试相结合的综合测试。

独立的数据量测试指针对系统的存储、传输、统计、查询等业务进行的大数据量测试，如“余额查询、卡交易明细查询、账单批处理”等；

综合数据量测试指和压力性能测试、负载性能测试、疲劳性能测试相结合的综合测试，测试数据的准备借助于测试数据管理与生成工具。

速度测试主要检测系统关键操作的效率，例如统计报表查询等速度。通常是采用系统稳定运行情况下能够支持的最大并发用户数，持续执行一段时间业务，通过综合分析交易执行指标和资源监控指标来确定系统处理最大工作量强度性能的过程。

网络故障分析和性能优化主要测试网络带宽、延迟、负载和TCP端口的变化是如何影响用户的响应时间。

同时在系统试运行之后，对网络的应用性能监控，及时准确地了解网络上正在发生什么事情，什么应用在运行，哪些应用程序导致系统瓶颈或资源竞争等等进行分析。

3）安全性测试方法

系统安全性检测针对安全不同层面的不同内容，主要采用访谈、检查及使用安全测试工具的方法进行考查。

针对系统安全不同考查点，指定相应的访谈表、检测表及测试表。从安全测评的技术层面上讲，安全技术测评主要包括网络安全、主机安全、应用安全及数据安全四方面的内容。

网络安全主要从网络设备、网络架构以及网络安全产品等方面进行检测，如：对于防病毒软件可以从防病毒的策略、管理策略、分发策略等方面进行测试与评估；

也可通过模拟不同种类的尝试性探测手段，利用系统存在的漏洞，检测系统漏洞可能造成的危害。可辅助使用网络隐患扫描工具对整个非金融机构支付服务系统网络中心执行网路设备漏洞扫描。

主机安全主要针对主机自身安全行、相关策略的测试。

例如，主机用户权限分配合理性审查；可辅助使用网络隐患扫描工具检查卡系统服务其漏洞；日常使用记录检查，操作规范检查等。

应用安全主要采用软件测试当中的黑盒测试方法，对涉及安全的软件功能，如：用户管理模块、权限管理模块、日志管理、加密系统、认证系统等进行测试，主要采用黑盒测试方法验证上述功能是否有效，还可辅助使用页面安全测试工具进行应用系统漏洞检测。

数据安全可以通过网络上捕获数据包的方式验证数据在传输过程中是否采用加密措施，可辅助使用嗅探测试工具执行数据包抓获；

第三方支付平台的支付的接口、支付的入口、与各个银行的数据接口安全等接口检查测试等。

感谢每一个认真阅读我文章的人，礼尚往来总是要有的，虽然不是什么很值钱的东西，如果你用得到的话可以直接拿走：

这些资料，对于做【软件测试】的朋友来说应该是最全面最完整的备战仓库，这个仓库也陪伴我走过了最艰难的路程，希望也能帮助到你！凡事要趁早，特别是技术行业，一定要提升技术功底。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。