- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
移动支付安全评测:微信支付篇
本次测试分为腾讯篇和阿里篇,测试产品版本分别为: 微信:5.1版本 支付宝钱包:8.0版本 前一段时间很多微博、论坛都在讨论支付宝钱包的安全性和所谓的“手机丢失实验”测试。 移动支付介绍 移动支付从应用情景层面来说,可以分为远景支付和近景支付。 远景支付顾名思义就是,用户以远程的手段进行支付,远景支付我们大家都已经很熟悉了,常见的远景支付包括网银支付、银联支付、网络交话费、水电费等等。 总结 在对微信支付进行测试的过程中,除去多重绑定这个在逻辑设计上存在的一些问题,其他诸如数据加密传输、证书替换和中间人截断等测试,微信支付表现的还是很不错的,总体安全性还是比较可靠。 扫码支付也好、声波支付也好、NFC支付也好,它们提供的只是一个更加简捷的支付方式,是最表象的东西,底层仍然是安全。
4K70发布于 2018-02-02 - 来自专栏腾讯大讲堂的专栏
微信支付安全手册
2案例二:泄密型 “我微信登不上了,需要好友验证,麻烦把收到的验证码发给我”假设你收到朋友这样的信息,你会把验证码发给他吗?举手之劳,十个有九个是会随手转发的。 背诵:支付密码很重要,莫与其他密码同;遇到帐户有异常,及时修改并报警。 微信支付安全五道屏障 1第一道屏障:【钱包】手势密码 手势密码多达389,112种有效密码排列方式。 2第二道屏障:全方位验证本人 即便是骗子突破了手势密码来到了你的“钱包”,没有微信支付密码也是徒劳。 4第四道屏障:严密的后台风控 在看得见的屏幕上,你用自己的智慧创建了一个安全的环境,在你看不见的后台,微信也在筑造防范的屏障。 客服电话是0755-86010333 电话是0755-86010333 0755-86010333 关于微信安全问题,在你看得见,或看不见的地方,微信团队和你一起努力。微信支付,安心之付。
2.1K60发布于 2018-02-12 - 来自专栏用户6996946的专栏
刷脸支付真的安全吗?
刷脸支付是指无需携带任何设备,基于机器视觉,3D传感,大数据风险控制等技术,直接刷脸就可以完成的新型支付方式。 刷脸支付不仅可以节约顾客的结账时间,同时还能提高商户的经营率和信息化水平。 中国已经有超过300多个城市,百万以上的消费者率先体验了支付宝刷脸支付的便捷。如今在提供方面的同时如何保证安全性是人们普遍关心的问题。 1、 刷脸支付安全靠谱吗? 一句话:完全不用担心。 2、 万一有人趁我睡着的时候刷我的脸怎么办? 刷脸支付是采用Face++人脸识别技术,进行身份验证的一种方式。在验证的时候需要对着手机镜头眨眼、转头,完成动作之后才能登陆的,这叫3D交互式活体检验。 刷脸支付已经正式走上支付舞台,并以迅雷不及掩耳之势抢占原有的支付市场。科技不仅改变生活,也改变我们的生活方式。 我们不妨看看,从古老的以物易物,到之后金银交易,再到纸币交易,再到现在流行的二维码支付,科技的进步使我们的支付方式不断发生改变,而刷脸支付就是现在最先进的支付方式。
3.3K30发布于 2020-03-05 - 来自专栏刷脸支付
刷脸支付究竟安全吗?
从现金结账到手机扫码支付,是支付方式的大转变,直到今天,我们终于可以告别钱包和手机,只靠刷脸就可以完成支付,这就是传说中的“靠脸吃饭”,刷脸支付就是把你的脸变成一个个人的“付款二维码”,所以,不用掏出手机一样可以完成支付 1、选择会员购物,输入手机号码 2、扫描商品的条形码 3、选择支付方式 4、选择刷脸支付 5、开通刷脸支付功能,输入绑定的手机号码 6、支付成功,获得购物小票 目前,刷脸支付的安全性识别准确率达99.99% 刷脸支付功能采取授权开通模式,即该功能需用户授权才能开通。 2.脸部信息识别。刷脸时,系统会实时采集用户的脸部信息,再与系统照片库里留存的信息做对比。同时会涉及到人脸检测、配准,活体检测。 3.避免替他人支付。在面部识别时,如果识别框中出现多张人脸,是无法进行识别的,这也就保证了我们不会“替”他人进行支付。 4.手机号码验证。在支付的最后,需要输入手机号码,进一步保障了支付的安全性。 总得来说,刷脸支付是非常安全的,首展科技也推出了刷脸支付产品,了解更多的刷脸支付加盟政策,请查看官网:www.51fubei.com
3.1K60发布于 2018-11-23 - 来自专栏FreeBuf
大话Apple Pay(苹果支付)安全
2.【iBeacon】:是苹果公司开发的一种通过低功耗蓝牙技术,可实现十分精确的微定位技术。 当使 用基于主机的卡仿真模拟的NFC卡,这些数据被传输到运行在安卓应用程序上的主机CPU,而不是NFC协议的帧传输到安全元件上, 如图2。 ? 图1 基于安全元件的卡仿真 ? 图2 基于主机的卡仿真 苹果支付如何保证安全 从技术上看,后台架构为这次的变革做好了准备。 在2012年,黑客造成全球支付卡损失了113亿美元(包括零售商和发卡行),而美国贡献了47%。 ? 苹果支付的安全评估 按道理来说,NFC支付应该更安全。 此刻,尽管看起来苹果支付和其他NFC移动支付系统提供了增强的安全性,防止传统零售业的信用卡泄露事件发生。
1.9K100发布于 2018-02-05 - 来自专栏授客的专栏
安全测试 网上商城购买支付安全测试
by:授客 QQ:1033553122 测试思路: 测试前,查看了关于支付宝接口的相关资料,包括一些处理流程,大概了解下,觉得关于支付的测试主要在数据提交、请求这块。 (价格不变,更换与产品不等价产品),于是试了下,发现还真行~~ 总体来说,测试是一种思想~~要保持思维的发散性~~ 关于安全测试,笔者也不太懂,下面是实际工作中的一个例子,分享出来,也算是抛砖引玉吧 第2步、 设置浏览器代理 火狐为例 ? ? 注意:这里的配置信息要和第一步中的监听设置保持一致 第3步、 查看初始界面 ? ? 第5步、 同第4步操作,获取实际不想购买的产品(产品2)的相关信息 ? ? ? ? 第6步、 重复第5步骤(如果未执行第5步的话),修改产品2的产品ID为产品1的ID ? 从上图可看到,我们通过产品2(学派)来购买产品1(电磁笔),并且间接修改了产品1的价格(原价199,现价1元)
3.8K21发布于 2019-09-11 - 来自专栏黑客技术家园
关于移动支付,安全大盘点。
手机为我们带来了无数的便利,然而,随之而来的,也有更多的安全威胁。 近年来,手机病毒层出不穷,隐私数据丢失、虚拟财产被窃等事件频频爆发,手机用户正遭受着越来越严重的安全威胁。 在这背后,则是以牟利为目标的病毒制造者们,以及盯上手机独有私密性的不法之徒们,手机黑色产业链已经逐渐形成,而以网秦为首的手机安全厂商也在不断提升自身的安全技术,这黑白之间的博弈永远魔高一尺,道高一丈。 2010年2月 “手机骷髅”:感染超过十万智能手机 2010年2月9日,网秦全球手机安全中心截获了一款恶性手机病毒,并将其命名为LanPackage。 随着移动互联网的急速发展,手机支付、手机炒股等金融类应用不断增多,在给用户带来便利的同时,也让不法黑客看到了“商机”。盗号木马、钓鱼病毒层出不穷,为手机金融应用蒙上了一层阴影。 QQ和手机已经成为大多数人们日常生活中不可或缺的一部分,黑客阵营也逐步从电脑转移到手机,黑客盗号行为不仅威胁到隐私安全,也威胁到财产安全。由此可见,手机上的账号保护已经成为非常必要的安全需求了。
2K20发布于 2021-04-02 - 来自专栏支付进阶之路
图解支付安全体系建设指南
安全身份认证体系。 常见的安全协议。 密钥存储与统一安全服务。 工程应用中的常见问题。 2. 在线支付面临的主要安全问题 在线支付面临的安全问题主要包括: 账号或密码等敏感信息被盗用。 以前碰过到一个真实的案例,黑客首先攻击了银行系统,然后在支付平台发起充值2万元,再把银行扣款订单修改为扣款1元,银行扣款1元成功,通知支付平台扣款成功,支付只校验了状态,没有校验金额,导致支付平台为用户余额充值 2万元,然后黑客在支付平台提现2万元。 技术手段主要围绕四个目标: 1)敏感数据安全存储。 2)交易安全传输。 3)交易的完整性和真实性。 4)交易的合法性(无欺诈)。 典型应用场景 支付系统做为一个安全系数非常高的系统,加解密技术在里面起到了极其重要的作用。通常以下几个核心应用场景都会用到加解密技术:1)传输加密;2)存储加密。
41910编辑于 2025-12-29 - 来自专栏FreeBuf
浅谈移动支付的安全问题
移动支付技术真的很安全么?像Google、Apple和Venmo这样的公司,往往都向客户保证“你们的数据绝对是安全完整的”。然而客户们似乎并不买单。 那么这些客户是因为太过谨慎才没有过多使用移动支付,还是移动支付尚未进入主流市场当中呢? 据福布斯最近的报道,移动支付过程中,其中部分层面是有一定安全保障的。 事实上,黑客仍然可以通过移动支付的缺陷,获得用户的数据。移动支付的成功与否,取决于供应商所提供产品的安全性。下面我们就来谈论一些知名的移动支付产品吧。 因此,这是一种相当安全的支付方式,因为并没有真正的信用卡数据通过NFC传输,黑客最多窃取到一个序列号码。 然而,苹果支付也不是完全没有问题的。 理论上这是比较安全的,因为黑客不仅需要用户的认证信息,还需要得到账户绑定的手机设备。 仍然离不开传统卡技术 移动支付技术安全吗?
2.7K90发布于 2018-02-06 - 来自专栏腾讯社交用户体验设计
支付安全感的设计思考
| 导语 今年春节期间支付宝发生了一次支付安全风波,这让我们再次意识到安全对于支付、金融类产品而言就是生命线。 以在餐厅消费为例,我们去餐厅就餐结账时,通常流程是: 1.把服务员喊过来,告知结账,服务员会把消费账单拿过来以供确认; 2.拿着账单到前台,询问有没有优惠打折信息,确定最终金额,进行支付; 3.店员告知支付结果 以App store充值体验为例,手机上的充值流程如下图所示: 1.选择充值金额、付款方式、以及该付款方式对应的信息; 2.选择从网站还是手机认证来授权付款; 3.验证身份信息; 4.前往网站或进行验证手机 微信在支付安全页面也会提示通过与银行、人保合作来保障支付安全。 ? 4.3 多重保护感 有时候在支付相关的操作中,给用户提升门槛,也会让用户提升安全感。在用户看来更高的操作门槛,意味着更多的保护。 微信支付在之前版本中,所有核心支付流程页面标题下方都有一行小字提示“微信安全支付”,来为用户营造这种安全氛围。 ?
1.9K30发布于 2018-06-29 - 来自专栏Youngxj
关于支付宝的安全登录漏洞
近日有网友爆料称支付宝存在新的漏洞——陌生人有九分之一的机会登陆你的支付宝,而熟人有百分之百的机会登陆你的支付宝。 按照网友的说法,支付宝的漏洞原理如下:通过支付宝APP登录——选择“忘记密码”——选择“手机不在身边”——这时支付宝会让你选择“淘宝买过的东西”(9张图片选1个)——“你可能认识的人”(9个好友选1个) 腾讯科技就此向支付宝方面求证,支付宝官方回应称: 我们接到网友反映,称可以通过识别好友、识别近期购买物品,来找回支付宝登录密码。 这一方式仅在特定情况下才会实现。 在安全系数较高的情况下,才让用户回答一系列安全问题,只有在回答正确后,才能修改登录密码。 这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码。 且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。 关于支付宝安全登录漏洞之二就是如果你知道对方的身份证号码,或者有对方银行卡都是可以成功登录对方的支付宝账户!
1.4K50发布于 2018-06-07 - 来自专栏博文视点Broadview
支付平台架构:终端安全技术实现
安全交易是互联网产品电子商务发展的核心内容之一,支付系统的安全则是安全交易的关键所在。 对于从事支付行业的第三方支付机构来说,终端数据的安全防护无疑是支付业务发展的重要保证之一,是安全防护长城的第一关。支付系统一般会采用安全加密、访问授权、传输安全等方法来保障终端数据的安全。 ------ 本文选自《支付平台架构:业务、规划、设计与实现》一书,将详细介绍支付平台终端安全的技术实现。 该算法的明显缺点是密钥较短,这意味着可以通过暴力破解来解密,降低了加密的安全性,但仍然适用于对支付系统配置文件的安全加密等场景中。 曾在金融行业和电信行业从事支付结算信息系统研发和技术管理多年,负责融合支付、预付卡支付、交易反欺诈和风控安全等工作,拥有“支付安全处理方法、装置及系统”“用户终端及支付方式检测装置与方法”“防自动刷红包的装置与方法及服务端
1.8K20编辑于 2023-05-19 - 来自专栏卯金刀GG
【SpringBoot2 微信支付实例】
13579246800987654321abcdefssssghijkl// 商户密钥 certPath: src/weixin/apiclient_cert.p12//从微信商户平台下载的安全证书存放的路径 spbill_create_ip: 114.55.200.128 //APP和网页支付提交用户端ip, Native支付填调用微信支付API的机器IP, 即:服务器ip地址 notify_url ClassUtils.getDefaultClassLoader().getResource("").getPath()+"/weixin/apiclient_cert.p12"; //从微信商户平台下载的安全证书存放的路径 ); log.info("已经存在的订单2:{}",JSON.toJSONString(existsresp2)); log.info("订单号:{},错误信息:{}",out_trade_no [CDATA[owyu2v00-fp62nZa-fRvEl2doR1w]]></openid>\n" + "<out_trade_no><!
1.5K10发布于 2020-03-19 - 来自专栏API 分享
银行卡二要素API:支付交易的必备工具,保障支付安全
引言随着数字支付的普及,支付交易的安全性成为了金融领域的一项关键挑战。在这个背景下,银行卡二要素API崭露头角,成为了一种不可或缺的工具,用于确保支付交易的安全性。 银行卡二要素API的作用保障支付安全支付安全一直是金融领域的首要任务。银行卡二要素API在这方面发挥着关键的作用。通过检查姓名和银行卡号的一致性,这个API可以有效地防止欺诈交易。 简化支付流程银行卡二要素API不仅提高了支付交易的安全性,还简化了支付流程。用户只需提供姓名和银行卡号,API将自动进行验证,无需复杂的手动步骤。这不仅减少了用户的付款烦恼,还提高了支付交易的效率。 APISpace 除了银行卡三要素,还有银行卡三要素和银行卡四要素接口~2.在线测试接口申请接口成功,进入测试页面,输入要核验的银行卡和姓名。 银行、支付处理商、电子商务平台等金融机构都依赖这个工具来保障支付安全。它们能够提供用户友好的支付体验,同时保持支付交易的高度安全性。
64650编辑于 2023-10-23 - 来自专栏FreeBuf
就一加手机支付漏洞讨论在线支付中的安全风险
我们对OnePlus网站的支付流程进行了一遍完整的检查,有趣的是,网站的支付页面所请求的客户支付卡数据会直接存储在网站中,这也就意味着用户所输入的全部支付信息都可以被攻击者直接拦截。 除此之外,很多Twitter用户也开始讨论这种潜在的安全问题了。 攻击者如何利用这个漏洞? 1. 用户如何保护自己的安全? 防止信用卡欺诈最保险的方法就是使用离线支付处理器,或者是整合了iFrame的支付结算页面。除此之外,很多第三方支付平添也提供了PCI兼容沙盒来更加安全地处理支付卡信息。 虽然使用整合了iFrame的支付页面是一种更加安全的选项,但这种方法仍然无法抵御基于JavaScript的攻击。 注:我们强烈建议大家定期对自己的电子商务网站进行安全渗透测试以避免任何的安全风险。 事件更新#2 OnePlus已经在官网上发布了一份声明,并给受此事件影响的用户发送了通知邮件,以告知用户数据泄露事件的大致情况(总共大约有4万名用户的支付信息被窃取)。
1.9K100发布于 2018-02-23 - 来自专栏PHP学习网
适用于yii2的支付扩展包,支持支付宝、微信、银联支付
此扩展包适用与Yii2系统,若是你想开发个支付功能,可以方向的选择此系统,只需要简单配置,即可实现支付功能,省去了封装接口的复杂代码逻辑。 +aTzhK2PI6WTDVTKAJBYegXaahBCqVbSxieR62IWtmOMjggTtAKWZ1P5LQcRwdkaB2rAoGAWnAPT318Kp7YcDx8whOzMGnxqtCc24jvk2iSUZgb2Dqv /h286Y2eTETd+By1onnFFe2X01mwKBgQDaxo4PBcLL2OyVT5DoXiIdTCJ8KNZL9+kV1aiBuOWxnRgkDjPngslzNa1bK+klGgJNYDbQqohKNn1HeFX3mYNfCUpuSnD2Yag53Dd order); // 刷卡支付 // $alipay = Yii::$app->pay->getAlipay()->scan($order); // 扫码支付 // $alipay ; // 扫码支付 // $pay = Yii::$app->pay->getWechat()->pos($order); // 刷卡支付 // $pay = Yii::
1.6K20编辑于 2022-12-17 - 来自专栏安恒信息
传统短信验证现弊端 网络支付安全堪忧
近日,有多位网友微博爆料,在个人的手机、银行卡、U盾等设备未丢失情况下,自己的工行储蓄卡存款不翼而飞,账户上的资金被分多次以工行e支付的形式转出,且都是在非本人操作的情况下,被强行开通了中国移动“短信保管箱 对此中国工商银行方面回应称,e支付本身并无安全问题。中国移动方面也表示,不会单方面强制开通客户的任何业务。深入研究此次的工行e支付安全事件,我们发现都是传统的手机短信验证惹的祸! ? (包括工行e支付验证码),然后不法分子再通过截取的手机动态密码即可达到非法转账的目的。 在互联网金融日益深入开展的今天,一方面是用户很好的享受到了网络支付的便捷,另一方面传统短信的二次身份验证存在严重的安全隐患。 通过工行e支付安全事件,我们看到普通的网民并没有能力去阻止类似安全事件的发生,但是在日常网络生活中,还是可以通过正确的使用防病毒软件,浏览安全可信的网站,认真保管自己的账号密码等行为习惯来有效的防范自己的隐私信息不被泄露
2.2K50发布于 2018-04-11 - 来自专栏天存信息的专栏
WEB安全新玩法 防范竞争条件支付漏洞
本文将讨论如何简单地使用 iFlow 应用安全加固平台的可编程特性,对竞争条件产生的支付漏洞进行防护。 一、原始网站 这是一个在支付环节存在竞争条件漏洞的站点:用户输入一个支付数值,系统将这个数值与余额比较,如果支付数值小于余额则允许支付,并从余额中减去支付数值。 [图2] HTTP 交互流程如下: [表1] 二、iFlow虚拟补丁后的网站 我们在 Web 服务器前部署 iFlow 业务安全加固平台,它有能力拦截、计算和修改双向 HTTP 报文并具备存储能力,成为 HTTP 协议交互过程如下: [表2] 代码 iFlow 内置的 W2 语言是一种专门用于实现 Web 应用安全加固的类编程语言。 考虑到安全产品的使用者通常为非程序员,他们习惯面对配置文件而非一段代码。因此,W2 语言虽包含语言要素,仍以规则文件方式呈现,并采用可以体现层次结构和方便词法校验的 JSON 格式。
1.3K20发布于 2021-07-30 - 来自专栏开发与安全
移动支付时代的手机和app安全设置
然而,移动支付给人民带来方便之外,同样也带来一些安全隐患,假设手机丢失了,在手机本身以及 某些 app 没有做好安全设置的情况下,坏人通过利用手机验证码这个大杀器足以让个人敏感信息以及财产暴露在安全边界之外 2.服务密码泄露。 支付宝:支付宝app手势密码开启,关闭小额免密支付而使用指纹支付,支付宝登陆和支付密码相互独立,平时经常检查已授权登陆的支付宝app设备是否有异常并及时解绑不再使用的设备,取消手机号作为支付宝账号。 微信:微信设置进入钱包需要手势密码【钱包--右上角--支付安全--手势密码】,输错4次就被锁定了,如果不嫌麻烦还可以使用指纹(Touch ID)支付。 2.招行app里面绑定的银行卡,可能的话尽快转移到另外的卡上,并致电 95555 挂失银行卡。 3.如果怀疑支付宝被盗,第一时间使用安全设备和网络改登陆和支付密码。
4.4K00发布于 2017-12-28 - 来自专栏酷玩时刻
支付宝支付-刷卡支付(条码支付)
【官方是这样解释的】 商户可通过以下任一方式在线下完成交易收款都是当面付: 1、商家通过扫描线下买家支付宝钱包中的条码、二维码等方式将买家的交易资金直接打入卖家支付宝账户,资金实时到账; 2、线下买家通过使用支付宝钱包扫描商家的二维码等方式完成支付 2、申请条件 申请前必须拥有企业或个人支付宝账号,且通过支付宝实名认证审核; 营业执照主体需与签约主体一致,如不一致者需提供有效授权函;授权函要求:公司类型必须盖公章、个体工商户需两选一: a. 法人身份证原件+个体工商户盖章; 部分行业暂未开放签约,如保险、黄金期货、借贷(P2P)、POS等支付业务等; 3、产品费率 单笔费率 0.6% 4、签约认证流程 如果你只是想了解支付流程可以不进行签约 业务流程 使用步骤: 1、用户登录支付宝钱包,点击首页“付款”,进入付款码界面; 2、收银员在商家收银系统操作生成订单,用户确认支付金额; 3、用户出示钱包的“付款码”,收银员用扫码设备来扫描用户手机上的条码 +WRbrc6UWQVuK+xDlVcvivW5cXjAf/HFyb8o+ddj6g+QQ4jUN2WTc2QGpbtfum6G7oPHT99cjAURVRw2NmU5WfUXNazzSvisa2oYsl8EH7
5.1K21发布于 2018-08-21
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号