必测的支付漏洞(三)服务器未返回支付结果前进行干预

最新推荐文章于 2023-02-24 22:32:24 发布
最新推荐文章于 2023-02-24 22:32:24 发布
阅读量3.2k 收藏 22
点赞数 7
分类专栏: Web安全测试 文章标签: 支付漏洞 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_36032947/article/details/78394995
版权

之前的文章分享了一些我在测试支付过程的经验,今天这篇文章再分享一个测试点~

首先,回顾一下支付的流程如下:

1.提交订单。选好商品、数量后,点击“提交订单”按钮,跳转到选择支付方式页面。


2.选择支付方式。

3.进行支付。


4.服务端返回支付结果,客户端显示。


在这个过程中,可以进行如下测试:

1)选择完支付方式、跳转到支付页面后,查看“我的订单”,此时显示“待支付”状态


2)然后断掉网络,扫描支付宝二维码进行支付;支付成功后,连上网络,刷新“我的订单”页面,查看订单状态,是否是“已支付”状态。

3)如果是未支付状态,则是有问题的。一般来说,如果因为网络原因,服务端没有把支付完成的消息实时反馈给客户端,应进行多次请求,直到客户端接收到支付结果

4)如果客户端不是网页,而是手机APP,可以在输完支付密码后,立即关闭APP的进程,然后再启动APP,查看“我的订单”中的状态,是否是“已支付”状态

茵茵大可爱
关注
  • 7
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
必测支付漏洞(二)支付流程中“幂等性”
Lambda_Y的博客
10-29 1万+
看到这个标题,你们一定一脸懵逼吧哈哈哈~最近拜读了一篇很棒的文章,学习到了计算机中的一种思想——幂等性。然后联想到了之支付漏洞时的一个测试点,今天用本文跟大家分享一下幂等性这种思想吧~ 幂等性其实是源于数学,后来延伸到计算机领域。是指可以使用相同参数重复执行,并能获得相同结果的函数,这些函数不会影响系统状态,也不用担心重复执行会对系统造成改变。其实,幂等性指的就是指一次和多次请求某一个资源应
基于RFT和STAF进行的无需人工干预的跨平台自动化回归测试
03-03
回归测试是指修改了旧代码之后,重新进行测试以确认修改没有引入新的错误或导致其他代码产生错误。回归测试作为软件生命周期的一个重要组成部分,在整个软件测试过程中占有很大的比重,并且伴随着渐进和快速迭代开发...
订单服务-----遇到的问题及解决方案
骚戴的博客
02-24 1287
订单服务-----遇到的问题及解决方案
微信H5(WAP)支付,遇到的那些坑
kekeaijia的专栏
11-08 3240
段时间,公司业务需要。支付部分开始接入微信H5支付,遇到多个坑,耽误了不少时间; 第一个坑: 产品同学负责申请开通H5支付,因为在申请阶段填写过H5支付域名。并将H5支付域名和开发配置中的授权域名混为一谈,造成开发人员在测试支付时候一直无法通过,报错误:商家参数格式有误,请联系商家解决。在将近一天的调试后,才确认授权域名没有配置,并在配置授权域名后一次性测试通过。   第二个坑: ...
支付漏洞种常见类型
喵星人
05-19 1万+
根据乌云上的案例,支付漏洞一般可以分为类:一是在支付过程中直接发送含有需支付金额的数据包;二是没有对购买数量进行限制;是程序的异常处理。下面就和大家说说这种情况。  一:支付过程中直接发送含有需支付金额的数据包(常见)  危害指数:星星星星星  这种案例非常常见,主要针对支付宝等需要第支付的案例。开发人员往往会为了方便,直接在支付的关键步骤数据包中直接传递需要支
必测支付漏洞(一)使用fiddler篡改支付金额
热门推荐
Lambda_Y的博客
04-19 7万+
互联网产品中常会遇到支付功能,测试人员测试这部分功能时一定要重视,因为如果这部分出现了较严重的bug,将会给公司带来不小的经济损失!如果你测出了问题领导也一定会高兴的!因此测试优先级很高,但具有一定难度,刚接触测试的小白们可能不知道支付功能有哪些测试点,作为同为小白的我,就与大家分享一下我学习并致用于工作中的成果吧!         今天这篇介绍一下支付功能的测试点之一——篡改支付金额。设想
支付支付视频资源下,支付支付视频资源下
最新发布
04-04
支付支付是现代电子商务中不可或缺的一环,尤其在中国市场,它已经成为消费者进行线上交易的主要方式之一。尚硅谷的系列视频教程涵盖了支付支付的关键操作,包括交易查询、退款、定时查单和对账等核心功能,旨在...
最新易支付支付发卡网最新源码打包下载
09-16
支付技术概述】 在当数字化时代,支付技术已经成为日常生活中不可或缺的一部分。易支付支付发卡网源码的出现,代表了在线支付领域的一种新型解决方案,尤其在虚拟商品和服务交易中发挥着重要作用。码支付是一...
通用游戏支付平台程序.zip
06-10
【通用游戏支付平台程序】是一个专为游戏行业设计的支付解决方案,它允许开发者轻松地集成支付功能,使得玩家可以通过个人的支付宝或微信二维码进行支付,资金直接进入开发者自己的账户,提高了交易的安全性和便利性...
支付漏洞总结 / 在线支付流程安全分析
Omnictech的专栏
02-13 8107
言 大家对支付漏洞的理解通常都是篡改价格,已有的对支付漏洞的总结也是对现有的一些案例的经验式归类,没有上升到对在线支付流程深入分析的一个层面。这里尝试从分析在线支付流程,在线支付厂商的接入方式开始,深入业务分析整个在线交易流程中容易出现的安全问题。 支付宝/在线支付流程 支付宝即时到账接口开发流程 在线支付从功能上来说是通过支付宝的支付渠道,付款者直接汇款给另一个拥有支付宝账号的收款者。
fiddler抓包修改金额教程+工具
02-23
资料包含视频+文档+工具,主要目的使用fiddler抓包工具实现购物商品的价格进行幕改来进行支付
支付中轮询问题
my_name_nb的博客
03-25 5691
1、商户资损单边账:用户实际付款成功,但商户系统判定支付成功;或用户支付成功后,商户系统由于逻辑问题发起了撤销。 2、用户资损单边账:用户付款成功,但商户系统得到支付成功的结果,误认为付款失败,再次扫用户付款码发起支付,导致用户多支付了一笔。在用户手机网络不好的情况下,支付成功后用户手机不一定会显示支付成功页面,用户自己也不知道已经付成功了。这种情况在小额场景下尤其容易出现,且难以发现,需要商...
逻辑漏洞支付漏洞
Fly_鹏程万里
06-01 5860
支付漏洞乌云案例之顺丰宝业务逻辑漏洞案例说明顺丰宝存在支付逻辑漏洞,可以允许用户1元变1亿元。这个漏洞在其他网站很难存在,原因是页面交互都使用了对字段做签名。但是顺丰宝没做签名,导致支付金额可以被修改为任意数值。猜测成因是开发人员为了快速实现功能,而忽略了其中数据签名的步骤。可以想象,如果我充值1个亿,然后再使用取款功能,会产生神马效果。利用过程1 登录顺风宝查看余额2 充值,选择招商银行。填写充...
基于EoS的跨境支付模型及其仿真测试研究.pdf
09-14
仿真测试结果显示,与传统支付方式相比,基于EoS的跨境支付模型显著提升了效率。汇款时间被缩短到0.5秒以内,这几乎是即时的,相比传统模式有数千倍的提升,极大地减少了用户的等待时间。同时,由于EoS的去中心化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值