iT邦幫忙

0

金流安全性問題

看過大約五家的金流串接
因為不是每個客戶都有server可以裝元件
所以大部分的客戶還是使用金流商提供的api
每家金流商都是把訂單編號、返回網址、金額等相關內容送到一個指定網址
經過該網址驗證信用卡後將相關參數帶回指定網址
我想問,這樣不是很危險嗎
各家的送值方式都差不多,確認送出那個頁面已經把參數跟返回網址等內容大喇喇的呈現
也就是說,我只要知道該金流商成功的代號是什麼,我就可以自己帶變數去返回網址使訂單成立
如果客戶對帳時沒有仔細,那貨就寄出去勒
各位有什麼好得防範措施嗎?

2 個回答

10
fillano
iT邦超人 1 級 ‧ 2010-06-30 14:52:54
最佳解答

的確,看過的幾個API都沒有辦法。如果要API等於是公開的狀況下還能驗證雙方身份,大概得靠對稱或非對稱加密來做。只要key沒有流出去,那應該就可以確認交易結果是正確的。只是這需要金流廠商願意做。

過程要嚴謹一點的話,應該在訂單上多加一些狀態來做管理,例如人工核過帳才用人工把狀態改成可出貨等等。這種地方就要跟客戶溝通好,需要客戶在管理上多加留心。

10
shunyuan
iT邦研究生 1 級 ‧ 2010-06-30 03:02:32

你講得沒錯啊,台灣就有研究生拿來做論文,後來被說公佈會有不好的影響。

結果英國人,用來做博士論文,還上期刊。

YouTube 找就有影片講如何騙過驗證機制的。

我要發表回答

立即登入回答