3月30日,首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会——补天白帽大会在深圳举行。盘古安全工程师张燕在演讲时表示, 商户集成第三方支付时,在支付过程每一步都有可能产生支付安全问题,主要包括三种类型的攻击:订单篡改、支付通知伪造和支付劫持。
盘古安全工程师张燕
据了解,目前中国已经是世界上最大的第三方支付现场,截至2016年底,中国手机支付用户规模达到4.67亿;越来越多的应用集成第三方支付功能以替代传统支付方式。
据张燕介绍, 第三方支付产品其实是很多的,实现也很复杂,并且没有一个统一标准的支付模式。在这样一种情况下,对商户来说实现安全的第三方支付是一个迫切的需求,但是它并不容易,只要在开发过程中某一个环节理解错误或者实现错误可能导致安全问题。
据悉,整个支付逻辑是很复杂的,支付过程中需要多方参与。第三方支付模式一共有四方参与,分别是商户客户端、客户端集成支付SDK、商户支付服务端、商户服务端。如果商户在应用中配置不恰当,每一步都有可能产生支付安全问题。
张燕建议商家能够严格遵守集成第三方支付时的各种要求,包括将在客户端签名的逻辑移到服务端,在服务端完善的处理支付结果通知消息的处理,还有一个是更新签名key,对老版的patch额或者强制升级,应用客户端和服务端之间交互使用SSL。