根据MPGS集成指南,如果商家希望在付款成功完成后显示收据,则MPGS将使用resultIndicator重定向到商家站点回调URL。商家网站需要将resultIndicator与先前存储的successIndicator进行比较。
黑客可以先启动MPGS付款会话,而无需付费。然后通过使用不同的resultIndicator调用该商人站点回调URL直到它与存储的successIndicator匹配,来伪装成MPGS和蛮力尝试。然后商家认为黑客已经付款。
这可能吗? 如果是,该如何避免漏洞?在收到不信任resultIndicator的回调时是否需要调用查询API?
答案 0 :(得分:0)
我遇到了successIndicator和resultIndicator匹配的情况。但是,MPGS商家门户报告该交易未获批准。向万事达卡查询后,尽管没有得到此类行为的原因,但我被告知该团队正在研究修复方法。另外,在交易之后,我被要求调用查询API。