在线支付业务最佳实践

目录 SOLUTION

之前看到一个支付漏洞,客户端会对几个重要参数做签名,签名hash算法使用md5,salt会从Server获取。测试时分析数据包发现key字段即salt,然后fuzz出签名的参数组合。一直在想解决方案,和最佳实践,终得解。

一般在线支付分为2个阶段:

1、Client在电商Server上生成订单

2、电商Server向支付Server请求签名的key

3、Cient点击支付后跳转到支付Server上进行支付

继续阅读 “在线支付业务最佳实践”