项目测试中跟“钱”相关的各种坑

最新推荐文章于 2021-05-30 10:29:33 发布
最新推荐文章于 2021-05-30 10:29:33 发布
阅读量2.5w 收藏 3
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 测试设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iamhuanggua/article/details/80105666
本文探讨了电商交易中支付与退款的安全问题,包括单例支付机制、回调机制的重要性、金额计算的精确度、前端与后端数据一致性验证,以及在业务流程中可能出现的漏洞案例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

分类经验影响
交易

  • 一笔交易支付时候的“单例”性,在一笔支付没有完成时,不能发起第二笔支付
  • 支付结果不仅要做主动轮循,建议同时做回调。
某东点击支付按钮时,快速连击,导致两笔支付产生。
退款业务逻辑是否有漏洞,是否有攻击方法。某东发生过促销活动时1张“满600减300”的稀缺优惠券通过退款循环多次使用。选择订单中金额最低的商品退货,会发现优惠券被退回。然后继续购买,再继续选择最便宜的商品退款......
关联方在一个业务或者模块做修改后,有调用关系的关联模块要考虑是否受影响,模块之间的相互关系,业务之间的数据流转需要梳理清楚。某东,在一个模块修改测试上线后,由于另一个关联的业务不知道此修改,导致2小时内损失8W元
日期查询查询的时间的范围测试,查询结果是否符合查询条件,查询的条件,最近一天,一周,一月都是如何定义的。查询一个月的记录时候,按照月份减一,日期不变或者加一的方式,在处理正常月份可能没有问题,在处理2月的时候就会有问题。
金额

金额的计算使用专用的数值计算包(API),使用编程语言自带的数值计算有可能会带来计算误差,从而造成损失。

某东支付平台,在跟农行的对接中产生了精度丢失,比如19.91,在提交给银行时,只有19.90,结果用户可以少支付1分钱,虽然很少,但在月度对账时发现已经造成6w的资损。原因大概是支付平台使用的是“分”为计算单位,银行系统以“元”为计算单位,单位转换时造成精度损失。
金额篡改金额的计算应该由后端统一完成,避免前端数据被篡改而后端未做校验以及前后端浮点数处理不一致出现问题。某东前期出现过订单金额被拦截修改成1分钱支付成功的漏洞。
浮点数金额不要用浮点数,统一使用bigdecimal之类的方法。计算的精度和尾数处理在模块间、前后端上(四舍五入、去尾等)要统一。

活动,订单金额和某个优惠活动门槛(小数,如99.99)正好和相等时,两个浮点数比较大小会导致订单不能参加活动。

折扣,原价56.67*75% 可能导致精度问题或订单总金额对不上,差个一两分钱。

减免,6.8-0.9=5.8, 金额对不上,会引发用户的不满。


你必须了解的项目管理常识(下)
爱分享的淘金达人
06-05 172
很多人应该都听说过 PDCA 循环,它最早来自于质量管理领域,意思是做任何事情,都要经过规划(Plan)、执行(Do)、检查 (Check) 和行动 (Act) 这四个步骤,又称戴明环。可以说,这四个步骤提供了一个简易的思考和做事框架。需要注意的是,这个循环并不是运行一次就结束了,而是周而复始、螺旋上升的。别看它很简单,实际上,越是简单的东西,就越是普适!戴明环的应用非常广泛,其中就包括项目管理领域。...
第一次向线上提交flink任务遇到的一堆
千淘万漉
03-14 9084
flink版本 flink1.7.0_scala2.12.tar.gz 本项目包括内容 1.从kafka消费,结果写入kafka 2.中间有部分数据存入redis 问题描述 开始我没有注意scala版本问题,在pom中flink用的1.7.0,scala用的2.11.0,idea设置的scala环境也是2.11.0 在本地编译运行完全正常,然后使用build artifa...
【Hazelcast】入门
Mr_EvanChen的Blog
06-22 951
HazelcastHazelcast 是可以为基于jvm环境运行的各种应用提供分布式集群和分布式缓存服务。Hazelcast可以嵌入到任何使用Java、C++、.NET开发的产品中(C++、.NET只提供客户端接入)。①提供了 Map、Queue、MultiMap、Set、List、Semaphore、Atomic 等接口的分布式实现;②提供了基于Topic 实现的消息队列或订阅\发布模式;③提供...
如何做好互联网产品的支付测试?入前先搞懂这5个要点!
lucylily11的博客
05-30 613
现在有不少测试朋友做的项目中,可能也会涉及到支付相关的功能。比如:做商城的,做游戏的以及其他在线交易的网站、APP等。如果支付出了问题,或者用户拿少的通过篡改请求数据购买大金额的商品,如果是实物的话,发货前还有可能被发现。如果是虚拟商品话费、游戏币等就有可能造成损失。 所以,不管是实物也好,虚拟商品也好,对于互联网产品而言,支付是涉及到公司收入的一个重大环节,对于测试人员来说,支付测试测试中的重要一环。失误或者轻视,可能会造成很大损失。之前可能大家也都看到过或者听过一个bug损失4.6亿美金的惨痛教训
各种的合集
imduan的博客
04-21 799
spring的spring的deadlock的问题http://www.cnblogs.com/zhukunrong/p/5104138.html
有关测试
thunder09的专栏--没事就写点儿
11-10 776
在软件测试过程中,我们定义了单元测试、集成测试、系统测试三个阶段。针对 不同的软件项目测试的深度不同,测试停止的准则也不一样。如单元测试,有的项目我 们要求达到一定的覆盖率(语句、分支、基本路径)。有的项目没有要求,或降低覆盖率 。请教集成测试和系统测试的一个停止准则。特别是集成测试这个阶段不好把握,在单元 测试阶段中有时也作一些集成测试的工作(集成阶段不太明确)!
金额相关测试用例
weixin_30387423的博客
10-18 2679
公共测试用例一.金额相关1.金额参数必须以“元”为单位,精度要求小数点后两位。2.金额的小数点后面超过两位,页面或者服务端进行错误提示。3.金额输入0.01(一分问题),关注数据库存的值是否为0.01,前端显示是否为0.01。4.金额输入0,关注数据库存的值为0,前端展示是否正确5.金额输入为负值(如-1,-2),页面或者服务端进行错误提示。6.金额的输入不可为空时,如果为空则进行错误提示。(数...
Win10下安装Spark的尝试总结(尚未出
weixin_42757820的博客
03-22 3166
今天尝试部署Spark(Win10环境),学习了很多很有帮助的文档。基本的次序也算了解了一些。但最后还是没有成功。后面继续努力吧。但学习了一些点还是值得记录下: 1-Spark似Mysql Workbench、Navicat之,是用来对接和分析数据的。当然比后者功能强大很多,后者更多是传统的数据查询、处理及转化等。但Spark可以进行机器学习、图形处理,对接Python、R等分析包。 (Spa...
我们的敏捷之路——故事篇
zhaoenweiex的博客
03-10 1518
今天出于机缘巧合参加一个敏捷的研讨会,虽然在现在这个敏捷已经烂大街的年代,再一次听到各种熟悉的名词还是能让人再次心潮澎湃。正好趁此机会我把之前在为了奇怪目的根据真实经历写的论文拿出来作为本周的博客。
swagger原理简介
weixin_33690367的博客
03-13 726
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot的各种
LI_AINY的博客
02-16 830
说是SpringBoot简单了许多少了许多配置文件,但是,刚开始接触真的恶心,光是简单的加进去Mybatis、mysql就用了一天的时间,不是难,是会出来莫名其妙的错误 后台显示访问到了,但是前段显示404找不到 @RestController注解相当于@ResponseBody + @Controller合在一起的作用。 你想返回数据,就用@RestController 想反悔页面,就用@Co...
cocoapods的各种
Love@YR
07-22 790
1.安装ruby环境 http://www.cnblogs.com/daguo/p/4097263.html 中间如果有说帐号不是admin 切换到admin帐号 su Ctrip 2.Afnetworking 例子 https://github.com/AFNetworking/AFNetworking/wiki/Getting-Started-with-AFNetworking
PHP 微信支付通知金额不一致的问题
gezipml的博客
07-31 1615
在做支付金额对比的时候发现,明明相同的金额就是不相等,写了日志还是么发现什么。 因为支付的金额含有小数,刚刚自己测试了一下用小数乘以100再跟整形相比较,确实不会相等。 百度到了解决方法:在转整形之前先round; $v = 32.12 $num1 = $v*100;//输出float 3212 $num2 = intval(round($v*100));//输出int 3212  ...
测试项目中需要注意的问题
面向阳光的向日葵的专栏
06-15 939
项目开发完成(功能上都完成啦)提交测试测试时候应该注意哪些问题,当然这些记载的都是小菜鸟我在跟着做项目中发现的,不一定发现的完全,但希望记载下来,供参考。 1.为测试人员准备测试测试与开发人员最好不要同库,因为可能存在边测试边开发的系统,如果一个库会导致混乱。 2.开发人员不要随意动测试库的数据 不光我开的项目遇到,也会听到别的项目测试人员叫,测试数据不见了,测试数据被改了。 3
Hazelcast 参考文档-1
yangzibin的博客
01-07 332
        Hazelcast 免费因为它是无价的,Hazelcast 是开源因为它自信!              Hazelcast 参考文档 高度可扩展的数据分发和集群平台           ...
Hadoop集群各种
Hu_wen的专栏
07-14 1381
最近在玩大数据集群的部署,在部署过程中遇到各种爹的问题,真实日了TMD日本狗了。 起初是hadoop主节点9000端口问题,刚开始查国内国外各种问题,从异常日志中提示是IP端口被占用,然后直接被shutdown,各种无厘头的问题,后面根据日志慢慢分析 Starting namenodes on [Master]   Master: @@@@@@@@@@@@@@@@@@@@@@@
Hazelcast 参考文档-3
yangzibin的博客
01-07 332
  2.  分布式数据结构   所有Hazelcast 数据结构的共同特征: 群集中的数据几乎是均匀分布(分区)在所有节点。因此,每个节点携带~ (1/n * total-data) + backups ,n 为集群中的节点数。 如果一个成员出现故障,它的持有相同的数据的备份副本,将重新动态地分配拥有所有权的数据,并为剩余的活动节点锁定那些数据。因此,没有数据会丢失。 ...
修改订单金额!?0.01 元购买 iPhoneX?| Web谈逻辑漏洞
热门推荐
技术杂谈
12-21 1万+
本文来自作者 肖志华 在 GitChat 上分享 「Web 安全恩仇录:再谈逻辑漏洞」,「阅读原文」查看交流实录。「文末高能」编辑 | 哈比Web 漏洞里有 SQL 注入、XSS 等漏洞,但是逻辑漏洞等问题也是一个大的关键点。逻辑漏洞比传统安全漏洞更难发现,也可以理解为在相关的业务流程程序出了一个 BUG,当然开发者设计逻辑正常来走是没问题的,一旦用户不走寻常路,就导致了一些看似莫名其妙的漏洞存在
linux中跟端口相关的命令
最新发布
06-14
<think>我们正在处理用户关于Linux端口相关命令的查询。根据引用内容,我们可以提取以下信息:引用[1]:查看端口占用命令引用[2]:修改SSH端口的示例(包括防火墙规则更新)引用[3]:查看端口占用并终止相关进程引用[4]:使用redir或ssh进行端口转发引用[5]:使用FinalShell软件进行文件传输(虽然与端口不直接相关,但提到了网络操作)用户需求:查找与Linux系统中端口操作或查询相关的命令,并提供使用教程。我们将围绕以下主题组织回答:1.查看端口占用情况2.终止占用端口的进程3.修改服务端口(以SSH为例)4.端口转发注意:回答中需要遵循系统级指令(如LaTeX格式、中文回答、生成相关问题等)。步骤:1.介绍查看端口占用的命令(netstat,ss,lsof)2.介绍如何终止占用端口的进程(kill命令)3.修改SSH端口的步骤(包括防火墙更新)4.端口转发的几种方法(redir,ssh端口转发)同时,我们将生成相关问题。注意:引用内容已经给出,我们将在回答中适当引用。</think>### Linux 端口相关命令使用教程 #### 一、查看端口占用情况 **1. `netstat` 命令** 查看所有 TCP/UDP 端口监听状态: ```bash netstat -tuln ``` - `-t`:TCP 端口 - `-u`:UDP 端口 - `-l`:仅显示监听端口 - `-n`:以数字形式显示端口 示例输出: ``` Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN udp 0 0 0.0.0.0:68 0.0.0.0:* ``` **2. `ss` 命令(更高效)** ```bash ss -tuln # 功能同 netstat ``` **3. `lsof` 命令** 查看指定端口占用进程: ```bash lsof -i :22 # 查看 22 端口占用情况 ``` 输出示例: ``` COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME sshd 1234 root 3u IPv4 25500 0t0 TCP *:ssh (LISTEN) ``` --- #### 二、终止占用端口的进程 **1. 通过端口查找 PID** ```bash sudo lsof -t -i :22 # 直接输出占用 22 端口的 PID ``` **2. 终止进程** ```bash sudo kill $(sudo lsof -t -i :22) # 强制终止 sudo kill -9 1234 # 指定 PID 终止 ``` --- #### 三、修改服务端口(以 SSH 为例) **1. 修改配置文件** ```bash sudo nano /etc/ssh/sshd_config ``` 找到 `#Port 22` 改为 `Port 2222` **2. 更新防火墙** ```bash sudo iptables -A INPUT -p tcp --dport 2222 -j ACCEPT sudo iptables -A OUTPUT -p tcp --sport 2222 -j ACCEPT sudo service iptables save # 保存规则 [^2] ``` **3. 重启服务** ```bash sudo systemctl restart sshd ``` --- #### 四、端口转发 **1. SSH 本地端口转发** 将本地 4420 转发到远程主机的 4420: ```bash sudo ssh -fgN -L 4420:remote_host:4420 localhost [^4] ``` - `-f`:后台运行 - `-g`:允许外部连接 - `-N`:仅执行端口转发 **2. `redir` 工具转发** ```bash redir :8080 192.168.1.10:80 # 将本机 8080 转发到内网 80 端口 ``` --- #### 五、端口扫描工具 **`nmap` 扫描开放端口** ```bash nmap -sT 192.168.1.1 # TCP 扫描 nmap -sU 192.168.1.1 # UDP 扫描 ``` > **注意:** > - 修改端口后需更新防火墙规则 [^2] > - 端口转发需确保 SSH 服务正常运行 [^4] > - 敏感端口(如 22, 80)操作需 root 权限 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拥春飞翔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值