首先,我不是想破解贝宝。我要做的是创建一个类似安全的数据库。
好的,所以如果我用贝宝注册,我可以通过我的信用卡或银行账户“存入”我的PayPal账户,如果我有这个设置的话。当这种情况发生时,钱会从我自己转移到贝宝。但不是真的进入我的paypal帐户。这是我的支付账户不是一个实际的物理空间,其中有金币。除非我错了,这里发生的事情是我的帐户在paypal的服务器上的数据库表中,当我存款时,他们只是将'余额字段'从+ =我的存款中更改。因此,如果有人能够入侵这个数据库,他们可以通过改变“平衡字段”中的值来增加他们想要的平衡。
paypal如何确保无法实现这一点,以及他们使用什么样的数据库系统。我猜不是MySQL,对吗?
谢谢大家。
答案 0 :(得分:1)
我怀疑它是MySQL - 不是因为任何安全原因,像MySQL这样的东西在大型跨国金融系统中使用是不寻常的。
我不具体了解PayPal,但如果我制作这样的系统,就必须有审计线索。这意味着你不仅要在某处拥有"myAccount.balance = 100000000";你有一张交易表,就是说在日期X你有一个(存款||借方)来自/到(账户)的金额。它把它们加起来,这是你的余额。如果存在差异,他们会通过审计跟踪查看并发现任何欺诈或无效的转移并快速纠正。如果有一个包含余额的数据库字段,那么它只会缓存它们的速度; “真正的”平衡来自审计线索。
这与您平衡支票簿的方式相同:您跟踪收到和转出的资金,并将其总计以查看您拥有的金额;如果总数是错误的,你回过头来查看你的传入和传出资金的日志,找出错误。
答案 1 :(得分:1)
他们编写极其安全的代码,不要打开自己的SQL注入攻击,并且没有他们的数据库服务器坐在互联网上。他们有一个专门的QA团队,可以测试任何新的东西并执行无数的回归测试和一般测试脚本。
他们可能雇用一两个黑客试图打破系统 - 但只要他们失败就需要付钱。 : - )
或者,或者他们被黑客攻击,然后被起诉,然后破产。
答案 2 :(得分:1)
如果您要处理任何客户财务数据(即处理信用卡和/或借记卡交易),则需要符合PCI标准。这是由美国运通,Discover,JCB,万事达卡和维萨国际设置的一套安全标准,如果您经过审核或发现安全漏洞并且发现不符合标准,则会处以高额罚款(每月5,000至100,000美元) 。对于PCI合规性,您还需要每90天执行一次网络安全扫描,“必须由PCI SSC批准的扫描供应商进行。”
尽管PCI合规性并不能保证您的安全(它在网络级别而不是应用程序级别上验证安全性更多),但它至少是最低起点。此外,您的应用程序在设计时应考虑到安全性,以防止SQL注入,会话中断和其他常见安全问题。