支付系统是一个公司平台中最重要的系统之一,怎样提高支付系统的安全性及稳定性呢?可以从系统架构、网络安全措施、编程注意事项、数据库设计等多方面谈谈

2 Answers

 安全方面我说几点:
1.https虽提供双向认证,但会遭到中间人攻击。监听者生成伪造的证书,给双方提供认证,这样可以窃听到用户和银行的明文传输,获取用户银行账号密码。但监听者伪造的证书,浏览器会报警。所以需要给用户提示,有相当一部分用户无视浏览器的报警。
2.虽然有传输有https保护,但仍然无法阻止hacker使用分析页面表单的方法获得银行账号。所以条件允许的情况下,需要提供一个网银安全输入插件。
3.防御CSRF攻击尤其重要,因为银行支付系统提供的是瞬时Cookie,XSS获得Cookie的方法无法利用。对于多窗口浏览器,用户登录银行支付时的Cookie是可以共享的,此时访问一个带有form提交银行转账的页面,钱就被转到hacker手中了。防御手段是每次提交时,使用Token验证。
4.很多公司(如盛大)会给“银行支付系统”架设IDS保护。

2010-11-13 02:00:00

根据支付类型的不同,支付流程也各不相同,据我所知现在较流行的在线支付流程主要有以下几类:
1.网银类 像招行支付、工行支付、西联快汇等
2.综合电子钱包类 像支付宝、快钱、易宝、PAYPAL、MONEYBOOKERS、Facebook Credits等
3.虚实卡类 神州行、MYCRAD、GASH、骏网一卡通、昆仑一卡通、MOL等
4.固话声讯类 像杭州齐顺、DAOPAY等
5.手机短信类 像联动优势、MOPAY、ATLAS、ONEBIP、BOKU、ZONG等
6.Offer类 像offerpal、SponserPay等

分为支付系统的开发和支付系统的接入:每种类型的设计方式都不尽相同,说说我了解的注意事项:

1、只提供必要的接口 ,对每个接口参数都需要做严格的输入控制,防止SQL注入、XSS、CSRF 2、采用HTTPS加密传输 3、每个请求都必须有加密校验、最好是把传输的参数值也直接加密了、每个请求有时效性,过期作废。 4、防并发控制,特别是像卡类支付系统,因为请求是实时完成的 5、事务处理,支付流程涉及到很多步骤,出问题的时候需要回滚 6、IP限制 7、每一笔支付都需要有一个订单 8、每个订单都有时间属性,所以表可以设计成按月分表 9、异步通知的并发通知能力、重复通知;这个很重要 10、尽可能提供订单CHECK接口,以及快速对帐接口 11、监控报警、统计、报表等 12、停机维护时,如何能使合作方快速方便地配合 13、稳定性方面 负载均衡 CACHE HA等
2010-11-12 23:55:03
您不能回答该问题或者回答已经关闭!

相关文章推荐

  • C#开发中的反射机制

    反射的定义:审查元数据并收集关于它的类型信息的能力。元数据(编译以后的最基本数据单元)就是一大堆的表,当编译程序集或者模块时,编译器会创建一个类定义表,一个字段定义表,和一个方法定义表等

  • C#实例解析适配器设计模式

    将一个类的接口变成客户端所期待的另一种接口,从而使原本因接口不匹配而无法在一起工作的两个类能够一起工作

  • C#中using指令的几种用法

    using + 命名空间名字,这样可以在程序中直接用命令空间中的类型,而不必指定类型的详细命名空间,类似于Java的import,这个功能也是最常用的,几乎每个cs的程序都会用到

  • C#协变和逆变

    “协变”是指能够使用与原始指定的派生类型相比,派生程度更大的类型,“逆变”则是指能够使用派生程度更小的类型

  • C#运行时相互关系

    C#运行时相互关系,包括运行时类型、对象、线程栈和托管堆之间的相互关系,静态方法、实例方法和虚方法的区别等等

  • 使用托管C++粘合C#和C++代码(二)

    本文实现一下C++代码调用C#代码的过程。我构造一个简单并且直观的例子:通过C++ UI 触发C# UI.

  • C#开发高性能Log Help类设计开发

    项目中要在操作数据库的异常处理中加入写Log日志,对于商业上有要求,写log时对其它操作尽可能影响小,不能因为加入log导致耗时太多

  • C#中的索引器的简单理解和用法

    C#中的类成员可以是任意类型,包括数组和集合。当一个类包含了数组和集合成员时,索引器将大大简化对数组或集合成员的存取操作

  • Async和Await使异步编程更简单

    C#5.0中async和await两个关键字,这两个关键字简化了异步编程,之所以简化了,还是因为编译器给我们做了更多的工作

  • 使用托管C++粘合C#和C++代码(一)

    C#在xml读写,数据库操纵,界面构造等很多方面性能卓越;C++的效率高,是底层开发的必备武器

  • C#基础概念之延迟加载

    延迟加载(lazy load)是Hibernate3关联关系对象默认的加载方式,延迟加载机制是为了避免一些无谓的性能开销而提出来的,所谓延迟加载就是当在真正需要数据的时候,才真正执行数据加载操作

  • 深入C# 序列化(Serialize)、反序列化(Deserialize)

    C#中的序列化和反序列化,序列化是.NET运行时环境用来支持用户定义类型的流化的机制