先看支付接口有没有漏洞，比如钱没扣就给货，或者扣了钱货没给，这两种情况都能找出来漏洞。测试的时候故意输错手机号或者金额，看系统会不会报警或者卡死。系统报警说明有风控，卡死就是死循环漏洞。再查资金流水有没有异常，比如同一用户一天充十次卡，或者充了五万块却没给对应积分。看有没有缓存漏洞，比如用户刚充了钱，别人还能用他的余额。

有些平台漏洞危害大得很，比如某电商因支付接口漏洞三个月被盗刷八百万，直接赔了供应商三百万。测试发现错误手机号时，系统报错率不足30%的漏洞占比超60%，说明风控不严。资金流水监控发现，单日充值超过五次且金额总和超过两万的账户，有43%存在漏洞。缓存漏洞最坑人，比如用户A充了十块钱，用户B还能用A的余额，这种漏洞让商家每月少赚二十多万。测试用例少的话根本找不全漏洞，现在主流都要求至少用三百个测试用例覆盖所有场景，测试用例多了300%，漏洞发现率反而翻倍。