互聯網產品中常會遇到支付功能,測試人員測試這部分功能時一定要重視,因為如果這部分出現了較嚴重的bug,將會給公司帶來不小的經濟損失!如果你測出了問題領導也一定會高興的!因此測試優先級很高,但具有一定難度,剛接觸測試的小白們可能不知道支付功能有哪些測試點,作為同為小白的我,就與大家分享一下我學習並致用於工作中的成果吧!
今天這篇介紹一下支付功能的測試點之一——篡改支付金額。設想,購買一樣商品,在提交訂單后、跳轉到支付界面前,篡改了支付金額或數量,如把2000元商品修改為0.1元,若是實體商品可能還有追回損失的機會,若是虛擬產品如游戲幣,那可能就追不回來了!我使用的是抓包工具fiddler4修改支付金額的,fiddler能把網頁攔截,修改服務器返回參數,並把修改后的數據包發送給服務器。下面我以測試web app電子書支付為例,介紹一下具體的操作流程!
一、攔截訂單網頁
1)在下方命令行輸入命令:bpu +網址域名
2)web app端點擊提交訂單,出現圖中紅色標識,網頁已攔截
二、修改訂單價格
1)選中攔截的鏈接,右側菜單選擇Inspectors—WebForms
2)修改參數totalPrice,這里的8.8是電子書價格,此處修改為0.02
3)點擊Run to Completion,發送修改后參數
三、跳轉到付款頁面
點擊繼續支付,跳轉到支付寶界面,如圖,已修改為0.02元,成功篡改支付金額!因此,發現了一個重大Bug,可以提交給開發了!
總結:
由此可見,將發送包中的金額修改,是一個十分危險的操作,從經濟利益角度來講,中間的差價會為公司帶來巨大的損失!
修改方案即開發不要在數據包中假如價格和數量等敏感值。