Android应用程序的支付安全性

Question

我正在开发一个应用程序，用户可以从中浏览和购买书籍。客户端可以是Android，iOS，Mac。服务器是ASP.net Web。

我知道有很多支付服务可供使用。其中之一是Authorize.net，我想我将使用它。当用户为一本书付费时，他/她将获得一个从服务器下载数据的独特链接。我想阻止其他非法检索该链接的用户下载数据。此外，我希望保持用户的支付信息的安全。

我没有安全方面的经验。所以，请给出一些如何实施的建议。谢谢。

Answer 1

黑客就是创造力。应用程序是复杂的，当攻击者能够查看整个应用程序时，他可以看到滥用它的有趣方法。鉴于有几句话解释了一些模糊的申请，我会考虑以下几点：

1)OWASP前十名

2)在连接到所需的API时，请确保验证SSL证书。

3)尽可能避免密码学。它可能会导致许多问题，特别是如果你不是一个专门的密码专家。

4)不能控制客户端，避免CWE-602违反行为。