MPGS (Mastercard)集成安全性

Question

根据MPGS集成指南，如果商家希望在支付成功时显示收据，MPGS会使用resultIndicator重定向到商家站点回调URL。商家网站需要将resultIndicator与之前存储的successIndicator进行比较。

黑客可以首先启动MPGS支付会话，而不需要付费。然后假装是successIndicator，并通过使用不同的resultIndicator调用该商业站点回调URL，直到它与存储的MPGS匹配，从而反复进行暴力尝试。然后商家认为黑客已经付钱了。

这个是可能的吗？如果是，如何避免这个漏洞？在不信任resultIndicator的情况下收到回调需要调用查询接口？

Answer 1

我曾经遇到过successIndicator和resultIndicator匹配的情况。然而，MPGS商户门户网站报告称，这些交易未获批准。在询问MasterCard时，虽然我没有得到这种行为的原因，但我被告知团队正在努力修复。此外，在交易完成后，我被要求调用查询API。