经营范围/ Server

服务行业

您当前所在位置:主页 > 服务行业 >

支付模块登录认证安全体验

发布者:xueao发布时间:2018-02-21浏览量:

支付模块登录认证安全体验   

1)缺少隐私安全问题     

微信支付的相关功能都在“我的银行卡”功能模块中,模块中涉及这个模块虽然是和支付相关的模块;

但并不支持设置单独的口令,同时也没有类似手势密码的功能。


如果用户已经绑定银行卡,且使用了“理财通”等产品,用户登录微信后就可直接查看到其相关交易信息和资产状况。


例如某人要是刚入手了一个新款手机肯定 有众多粉丝会要求拿过去耍一耍,这时一不小心你私房钱“理财通的资产”就泄露了,要是有网上购买情趣用品习惯的人可就糗大了。


迅雷、百度云盘都支持手势密码和单独口令,微信做为即时通讯软件又附带支付功能,隐私信息众多,为嘛就不考虑一下呢?


随着微信接入商的增多,敏感信息必然越来越多,强烈建议微信添加一个手势密码。


2)绑定银行卡强制记录个人信息     

微信在绑定银行卡时,如果是首次绑定,需设置支付密码。


如果已绑定或曾绑定过银行卡,则添加新的银行卡需先输入支付密码后方可进行绑定操作。


信用卡和储 蓄卡两类卡都可进行绑定,但需提供的信息稍有不同。


储蓄卡绑定,需提供持卡人姓名、身份证号、卡号、预留手机号码、短信验证码。


信用卡绑定,不同银行的需 提供的信息略有不同,大多数卡需提供持卡人姓名、身份证号、卡号、信用卡有效期、安全码、预留手机号码和短信验证码等信息。 


微信扫码支付的界面


微信钓鱼和诈骗    

微信做为手机端软件,大家很多在电脑上养成的安全习惯;

到了移动端又突然消失了,用于对于盗号诈骗、钓鱼链接等防范意识相对较低。


在抢红包期间伪造的微信红包让很多人扑了个空,但要如果是恶意链接;

则将是一大片人中招,微信需在这方面加强相应的安全措施和用户教育。        


不同微信号对相同银行卡的多重绑定      

产生的本质原因:注册微信时,微信未对注册人的真实身份(身份证、手机号码等)进行认证。      


而在后期的测试中,也验证了这个问题,我们用两个手机的两个不同微信账户,可以绑定同一身份人的同一张银行卡,并且可以设置不同的支付密码。


这个潜在风险在于,理论上我拿到你的手机,知道你的银行卡号(前提是办理该张银行所预留的手机号就是当前所使用的);


就可以完全使用任意微信账号(未开通过微信支付的微信账号)绑定你的银行卡从而进行消费。      


腾讯现在的做法是默认微信账号与第一次开通微信支付时绑定的银行卡用户名进行关联绑定。


简单点的说就是,假设我现在开通微信支付,但却绑定另一个人的银行卡,那么此后我就只能绑定与这个人相关的银行卡,不能绑定其他人的银行卡。 

微信运营·


 

微信支付宝支付接入步骤  

支付宝 

1、用户注册:

需要支付宝企业帐户,已有帐户直接进行下一步,注册地址


2、登陆:


3、创建应用:  

①点击导航菜单“开发者中心”下的“网页&移动应用”    


②点击创建应用下的支付接入开始创建应用    


③选择第三方应用按照命名规范填写名称点击创建按钮进入下一步填写概览


④上传应用图标点击基础信息右侧的修改上传应用图片    


⑤添加应用功能  


功能选项中必须包含当面付这一功能(目前这一项是必选的),如果没有点击继续添加进行勾选    


⑥设置密钥  

使用推荐的加密方式RSA2(SHA256)密钥  


密钥生成方式及生成工具下载参考:

把用工具生成的公钥填入应用公钥文本框中,把并把公钥和私钥保都存起来,配置中需要填


支付宝二维码支付


⑦填入公钥后点击验证公钥正确性进行密钥验证    


⑧点击下载链接下载验签工具,下载后用私钥生成签名 


⑨验证成功后点击保存完成密钥设置 


⑩点击提交审核    


4、审核通过后按照签约步骤进行签约,    


5、签约之后就可以上线了 


6、上线需要用到的参数  

①支付宝公钥进入密钥管理,找到对应应用的支付宝公钥

②开发者私钥:


第3步步骤⑥产生的私钥 

③开发者公钥:
 

④应用APPID:在应用列表查看,在第①步中也可以查看 

⑤账号PID(partner id)帐户信息中的PID 

支付宝实名制