补天白帽大会: 第三方支付需当心三类安全问题
补天白帽大会: 第三方支付需当心三类安全问题
2017-03-31 14:15:40 来源:中原财经网
抢沙发
2017-03-31 14:15:40 来源:中原财经网
摘要:3月30日,首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会——补天白帽大会在深圳举行。
关键词:
白帽
3月30日,首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会——补天白帽大会在深圳举行。盘古安全工程师张燕在演讲时表示, 商户集成第三方支付时,在支付过程每一步都有可能产生支付安全问题,主要包括三种类型的攻击:订单篡改、支付通知伪造和支付劫持。
盘古安全工程师张燕
据了解,目前中国已经是世界上最大的第三方支付现场,截至2016年底,中国手机支付用户规模达到4.67亿;越来越多的应用集成第三方支付功能以替代传统支付方式。
据张燕介绍, 第三方支付产品其实是很多的,实现也很复杂,并且没有一个统一标准的支付模式。在这样一种情况下,对商户来说实现安全的第三方支付是一个迫切的需求,但是它并不容易,只要在开发过程中某一个环节理解错误或者实现错误可能导致安全问题。
据悉,整个支付逻辑是很复杂的,支付过程中需要多方参与。第三方支付模式一共有四方参与,分别是商户客户端、客户端集成支付SDK、商户支付服务端、商户服务端。如果商户在应用中配置不恰当,每一步都有可能产生支付安全问题。
张燕建议商家能够严格遵守集成第三方支付时的各种要求,包括将在客户端签名的逻辑移到服务端,在服务端完善的处理支付结果通知消息的处理,还有一个是更新签名key,对老版的patch额或者强制升级,应用客户端和服务端之间交互使用SSL。
第四十一届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chenjian
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
