1

根据 MPGS 集成指南,如果商户想在支付成功后显示收据,则 MPGS 将重定向到商户站点回调 URL,并带有 resultIndicator。商户网站需要将 resultIndicator 与之前存储的 successIndicator 进行比较。

黑客可以先启动 MPGS 支付会话而无需支付。然后假装是 MPGS 并通过使用不同的 resultIndicator 调用该商家站点回调 URL 反复进行暴力尝试,直到它与存储的 successIndicator 匹配。商家随后认为黑客已经付款。

这可能吗?如果是,如何避免这个漏洞?在不信任 resultIndicator 的情况下收到回调时需要调用 Inquiry API?

4

1 回答 1

0

我曾经遇到过successIndicatorresultIndicator匹配的情况。然而,MPGS 商家门户网站报告称交易未获批准。在询问万事达卡后,虽然我没有得到这种行为的理由,但我被告知团队正在努力修复。另外,我被要求在交易后调用 Inquiry API。

于 2019-07-14T06:40:42.223 回答