支付安全性测试 (转自51testing)
现在有不少测试朋友做的项目中,可能也会涉及到支付相关的功能。比如:做商城的,做游戏的以及其他在线交易的网站、APP等。如果支付出了问题,或者用户拿少的钱通过篡改请求数据购买大金额的商品,如果是实物的话,发货前还有可能被发现。如果是虚拟商品话费、游戏币等就有可能造成损失。
所以,不管是实物也好,虚拟商品也好,涉及到支付功能时,大家在测试的过程中一定要重视,否则,会造成很大损失。
前几天也有小伙伴在评论区留言问我:支付这一块如何进行测试?
那我们今天就来说说支付流程的测试点,废话不多说,来进入我们今天的正题吧。
第一步基本测试
1、安全权限检测
登录或不登录
2、 选择的支付方式
①网上银行(借记卡和信用卡)直接支付,网上账号支付(通过充值后再支付),第三方平台支付(支付宝,云网,快钱等);
②借记卡未开通网上银行有无提醒,每家银行的接口测试(国有四大银行、招行等其他及国外银行);
③信用卡是否开通网上银行,有无当天支付限额;、
④借记卡与信用卡是直接输入卡号、密码、验证码、卡上专用码,还是直接使用用户名和密码加动态密码支付;
⑤ 直接支付考虑充值费用与所支付费用是否平衡,是否包含一定手续费;
⑥系统帐号支付:将银行卡或第三方钱转到系统帐号进行支付,检测账户余额不足时是否提示;是否有当天限额;
⑦第三方平台支付,接口的测试;
⑧是否支持批量支付;
⑨是否需要身份验证、手机短信提示,找他人代付功能;
3、收款功能 提现(转到银行卡或公司账户)功能
4、 账户管理
5、账单查询
6、打印,传真,邮件提醒功能
第二步异常情况
1、网络带宽问题
2、无法正常充值,网上银行充值有问题,如银行服务器忙等
3、 并发用户多
4、充值、支付成功,但数据未更新
第三步测试方法
1、流程图 画支付流程图,依据业务流程进行功能全覆盖测试
2、接口测试 对支付接口进行重点测试(因支付方式多样,所以选择性广)
3、功能测试 采用黑盒测试策略应采用黑盒测试策略,使用等价类划分、边界值分析、因果图法、判定表法等测试用例设计方法的原理与实现,分别对支付系统的功能、账户和交易风险监控、系统性能及安全性等测试指标项进行测试。黑盒测试法应制订覆盖全部功能模块的测试用例,通过执行测试用例以实现系统功能、业务流程和其它质量特性的测试。
4、安全性测试
①URL有参数的手动修改参数,看是否得到其他用户的信息和相关页面;
② 在登录输入框的地方输入“or 1=1--”看是否有SQL注入
③在注重SQL注入的同时,一般在有输入框的地方输入
④输入的数据没有进行有效的控制和验证
⑤ 直接输入需要权限的页面地址可用访问
5、性能测试 带负载情况下的响应时间和吞吐率,在某个时间段内同时访问系统的用户数量,或是在线数据处理的数量。
必须重视软件的安全性测试
用户购买100元游戏币时,前往第三方支付跳转进行金额的篡改由100元改成0.01元,结果就拿了0.01元充值了100元的游戏币。对订单金额没有做校验导致这样的后果,损失比较大。
大家在测试的过程中一定要注意对服务端进行校验,支付时数据的篡改一定要有校验。当同步、异步通知都存在的情况的,异步通知(第三方支付成功后台通知),没有到账,导致部分用户充值不到账,引起客户投诉。当同步、异步并存的时候,一定要分别对同步和异步进行检验,确保都能正常到账。我们所做的绝大多少的互联网产品都会涉及到第三方支付,所以支付功能必然是重要的,作为测试互联网产品的一员,我们必须要做好支付的安全性。
支付安全性测试 (转自51testing)相关推荐
- WEB安全性测试测试用例(基础).doc
原文地址为: WEB安全性测试测试用例(基础).doc 建立整体的威胁模型,测试溢出漏洞.信息泄漏.错误处理.SQL注入.身份验证和授权错误. 1.输入验证 客户端验证服务器端验证(禁用脚本调试,禁用 ...
- [原创]快钱99bill网站安全性测试漏洞之“跨站式脚本注入”
[原创]快钱99bill网站安全性测试漏洞之"跨站式脚本注入" 网站安全性测试,尤为重要,电子支付网站更是如此,本文作者以实例介绍了 (1)"Yeepay网站安全测试漏洞 ...
- H5测试点总结-UI测试、功能测试、兼容性测试、体验相关(弱网、资源、手机操作等)、安全性测试、性能测试...
一.概述 1.1 什么是H5 H5 即 HTML5,是最新的 Web 端开发语言版本,现如今,大多数手机 APP 页面会用 H5 实现,包括 PC Web 站点也会用它开发实现.所以 Web 的通用测 ...
- SAP开源Java SCA工具,提供静态代码安全性测试功能
SAP发布了Vulnerability Assessment Tool的源代码,这是一个软件组合分析(SCA)工具,已经在内部测试了两年,对600多个项目进行了20,000次扫描. Vulnerabi ...
- Android手机安全性测试手段
2019独角兽企业重金招聘Python工程师标准>>> 罗列一下自己常用的android手机安全性测试攻击手段: 1. fiddler和tcpdump+wireshark抓包分析,模 ...
- Web系统测试Web安全性测试
WEB安全性测试介绍 WEB安全性测试--拒绝服务攻击 WEB安全性测试--文件上传漏洞 WEB安全性测试--跨站攻击 WEB安全性测试--SQL注入一 WEB安全性测试--SQL注入二 WEB安全性 ...
- 工控网络安全性测试解决方案
工业控制网络面临的安全威胁 ♦ 传统的工控网络具备的以下特点: ♦ 强调实时I/O能力,而非更高的网络安全能力. ♦ 极少安装普通的防病毒软件,就算安装了也难以实时更新病毒库. ...
- 什么是安全性测试(security testing)?
安全性测试(securitytesting):就是在软件研发和维护过程中,通过不同的测试方法,发现安全性的问题,包括下列各类问题: 信息泄露.破坏信息的完整性 拒绝服务 非法使用(非授权访问).窃听 ...
- web应用程序安全性测试_Web应用程序导航菜单的可访问性
web应用程序安全性测试 A few years ago when I started my journey in the field of frontend engineering at that ...
最新文章
- python编程基础是什么-一 python编程基础
- php权限二进制,了解二进制权限,二进制权限的应用(PHP演示)
- 计算机组装与维修说课稿,大班《生活中的数字》说课稿
- 利用jquery的qrcode.js插件生成二维码的两种方式的使用
- 溢出科普:heap overflow溢出保护和绕过
- 详解Windows 搭建MRTG流量检控服务器
- 算法高级(14)-Nginx的负载均衡策略
- 测试管理和自动化测试工具篇
- Atitit .jvm 虚拟机指令详细解释
- Java开发 明华usbkey_UsbKey开发文档
- linux centos 光盘修复,CentOS的lib库误操作和修复
- RapidMiner Studio入门
- [Python3学习笔记-入门到入魔系列] 5分钟彻底搞懂XML文档解析
- 一个人能懒到什么地步?
- ie10不适用计算机,无发安装KB2731771,提示此更新不适用于您的计算机。无法安装ie10,不知道是否跟这个更新无 - Microsoft Community...
- 20. Converting Dotted Decimal to Prefix Notation
- 基于C4D的3d设计
- 领域驱动设计,为何又死灰复燃了?
- 文件服务器文件夹,共享文件夹及权限迁移
- 如何成为更好的软件架构师?