银行支付网关风险分析
 
（1）银行网关支付协议并没有实现客户与商户之间的相互认证。整个支付过程，商户
在收到银行返回的成功支付指令后才会向客户发货，对商户的信任完全依托于银行诚信，存
在一定的风险。
攻击模式：用户在商户网站上选择好商品点击购买时，若网络上存在恶意监听，如中间
人攻击并劫持了此次会话（注：网络上可以找到大量拦截代理服务器工具如 burp suite，
可对数据进行动态修改，或者以伪 server 身份出现）。此时，伪 server 完全可以伪造出一
套支付流程，并引导客户使用非数字证书方式支付，待客户输入账户、密码后，伪 server
端瞬间发起一个支付或转账请求，将客户银行账户资金转出.

大众版网银一般都不存在转账权限，风险系数偏低；但若客户采用动态口令版支付方式，
则资金被恶意转出的风险很大，因为很多动态口令版网银在客户端产生的随机数挑战码S，
存在一个时效性，如中行的E令 60s内生效，这让那些不法分子看到了希望，他们利用这个
时效性制造各种钓鱼网站以非法获取客户的动态口令，一旦被截取，只要不法分子在 60 秒
内使用这个动态口令，就能轻易操控网银用户的账户。故，建议客户在选择使用网银时，尽
量使用数字证书UsbKey登录支付。
  （2）客户在输入卡密码确认支付请求时，若支付网关没有对客户发起的订单确认请求
进行再次验签，同样可能引发攻击。因为订单请求有可能被非法客户恶意修改，如修改订单
商品金额等。在客户端进行的一切操作最终都由用户控制，用户可编辑客户端页面代码的任
意字段值，然后再将源代码重新载入浏览器，点击确认支付，或者使用拦截代理服务器工具
对数据进行动态修改等，可轻易修改支付请求报文。

第三方支付概述
 
企业开发的一个第三方支付平台，与多家银行网银系统建立直连。引入第三方支付平台
主要是为了避免银行需要与各商户之间进行直连，在安全性上得到保障，而且也规避了一定
的不现实性，特别是针对C2C 的电子商务模式，不可能每个个体卖家为了使用在线支付，都
与银行之间进行接口开发，建立直连关系。故引入了第三方支付平台，所有商户的在线支付
连接统一接入到一个指定的第三方支付平台，再由第三方支付平台与各银行之间建立连接。
实际上，可以看作将银行支付网关向前推进了一步，搬到了第三方支付平台，由第三方支付
平台统一各个商户之间的接口。
支付流程： （1）客户和商家分别到第三方支付平台注册账号，并进行实名制身份认证。
（2）客户商家主页上选购商品，然后通过商家提供的接口登陆第三方支付平台，通过第三
方支付平台提供的接口转到相应银行的支付页面。（3）客户在页面上输入自己的银行卡号登
录网上银行，将货款通过网银划拨到第三方支付平台账号上。（4）第三方支付平台收到货款
后，通知商家已收到货款，商家发货给客户。（5）客户收到商品并验证商品后，就通知第三
方平台可以付款给商家，如果商品有问题客户可以通知第三方平台拒绝划拨货款给商家，充
当交易的第三方担当协调和仲裁的角色。（6）第三方平台收到买家同意支付的指令后，实施
二次结算（第三方支付平台在所有合作银行均开设账户，作为结算的中间账户，并且存入一
定数量的结算备用金，当买方从A银行账户付款给卖方B银行账户时，首先A银行买方账户金

额转入第三方支付平台在A银行的中间账户；然后第三方支付平台在B银行的中间账户的金额
转入到B银行卖方账户）。
 
第三方支付风险性分析
 
（1）在整个支付的过程中，无法验证商户身份的合法性；
攻击模式：黑客 Evil 事先向某一支付平台合作商户任意发起一个购物请求，支付平台
端会立刻向Evil 生成一个支付确认页面，Evil随机浏览客户端源码并伪造出与支付页面极
其相似的付款页面；然后以卖家的身份，以各种理由尽可能地诱导客户使用非正常的支付流