您可以捐助,支持我们的公益事业。

1元 10元 50元





认证码:  验证码,看不清楚?请点击刷新验证码 必填



  求知 文章 文库 Lib 视频 Code iProcess 课程 认证 咨询 工具 火云堂 讲座吧   成长之路  
会员   
 
   
 
  
每天15篇文章
不仅获得谋生技能
更可以追随信仰
 
 
     
   
 订阅
  捐助
互联网业务安全之通用安全风险模型
 
作者:扶夙 来源:阿里安全 发布于:2016-9-1
645 次浏览     评价:      

业务安全从流程设计维度可划分为账户体系安全、交易体系安全、支付体系安全、用户信息存储安全。后者对普通用户而言基本属于透明状态,对于电商/互联网金融/社交媒体更多面临的业务安全风险集中在账户/交易/支付三个维度内。

1 账户体系安全

账户体系安全在具体的业务细分中,最直接的业务体现则为注册、登录、找密三个主要入口。针对黑产或灰产抑或“羊毛党”的技术面分析主要有以下攻击、薅羊毛行为。

1.1 垃圾注册

垃圾注册主要指通过程序或者纯人力大量注册的非活越账号,这些账号不能直接给平台带来收益确在一定程度上提升运营成本。账号本身可能给注册行为人带去部份收益。P2P金融行业在注册投资回报现金时,经常会出现这类垃圾注册;电商行业主要用于虚假刷单;社交媒体则面临面临垃圾注册用于发送垃圾消息。

1.2 撞库攻击

撞库风险在登录、注册、找密等普遍存在,目前“黑产”主要通过大量泄漏的用户数据,在这些潜在风险的地方,进行账号检存操作,然后通过存在的账号测试对应密码检存;或者寻找无任何防御的登录口进行撞库。

1.3 盗号洗号

这类风险就不做多过多描述,攻击手法略多。

1.4 验证码安全

验证码在设计之初即为区分人与机器,在各类应用中广泛使用用于防护自动化攻击。但目前基于图形验证码安全的防护手段已基本不再属于黑产的障碍,众多的OCR产品以及更为通用的人工码平台,降成本高效率作业。对于有些网站仅采用手机验证码认证作为区分正常用户与“异常”用户,国内也已有非常成熟的“猫池”设备,提供在线手机打码测试。对于团购类、快车等平台,手机小号注册可直接获取巨大利益回报。举例:某团购平台,对于普通用户购买某火锅优惠券需要79元,新用户优惠价格只需要49元。该平台对于业务风控做了设备指纹操作,但依然可以通过模拟器用“手机码”平台进行下单操作。除掉小号成本5块,回报还是挺诱惑的。验证码安全参考

1.5 信息重放

登录/注册/找密等入口,可能通过短信验证码、邮箱验证码之类的进行确认操作,如果末对操作进行次数及频率上的限制,则会产生大量的重放攻击。另外,对于验证逻辑缺陷类的,例如session末及时删除,可能导致验证码被重放,绕过一些人机基础防护等。

1.6 找密/改密安全

找密/改密设计在验证逻辑上极易产生各种问题,找密密钥的可预测性,找密逻辑缺陷可直接修改收信邮箱,账号检存。改密通过id进行可能修改他人的密码,批量重置等等。从业务层考虑还有找回他人的密码导致财产损失。具体举例:有些产品从用户角度思考,提供更人性化的找密服务,会根据不同场景出现不同的找密方式,在末严格验证身份的情况下或设备指纹不可靠等,极有可能导致客户账号被攻击。

1.7 信息泄漏

业务层的信息泄漏,主要指服务自身的一些运营敏感数据泄漏。比如客户交易的cvv码,用户账号、密码、邮箱等。在账号体系中,该类泄漏非常常见,例如用某第三方开发的P2P程序,在登录时用户账号存在的情况下,直接ajax返回该用户的密码密文、手机号、邮箱等等信息。攻击者可能通过这些接口大量获取敏感信息。

2 交易体系安全

交易体系安全主要在电商、金融类发生实际交易的场景下出现,“羊毛党”或者问题商家在交易体系中,存在大量虚拟交易,信息作弊及各类针对活动场景的攻击。

2.1 刷库存

刷库存在电商类网站普遍存在,属于一种业务勒索型攻击。攻击者通过大量购买库存产品,但不发生实际支付行为,让正常用户无法正常购买。通过相对较成本低的价格带动数据增长的新商户而言,遭遇该类勒索型攻击较为常见。

2.2 刷单

业务数据造假,这种已形成比较成熟的产业链,目前玩法较多。对于验证真实快递单号的电商站,随便都能相互买到这类单号。

2.3 活动作弊

电商类网站在“双十一”之类的各种特殊节日,会推出大量的游戏送抵用券,送红包、送流量、送优惠券等等活动。如某送流量活动,输入手机号,鼠标点击鼓达某个阈值送多少流量,攻击者可直接修改js或者写js自动模拟点击刷活动。再比如,商家为了冲销量,经常举办前几百名免单活动,攻击者通过自动化脚本秒杀商品,大量薅这羊毛。这直接导致商家销售产品存在大量恶意退货、退款,对于正常用户而言,认为自己被耍猴;对于商家投资成本带来的回报与预期有较大出入。

2.4 刷排名

商家通过某些手段,规避虚拟物品限制转换实际产品销售。以处于边界的低价游戏产品,通过叫“白号秒单”(无太多记录的真实账号)的手段,大量刷销量,再更换类目产品,保持各类目都在销量靠前排名靠前,搜索推荐都是这类店铺,给消费者带来较大的损失。

2.5 权限绕过

严格意义来讲业务安全与传统web安全重叠的部份较多。权限绕过这里主要指的是,常见的一类逻辑漏洞。一类是末对用户开放或已下线的的商品,通过id可直接遍历到该商品,然后正常购买;另一类主要指,设计上的缺陷,比如有些卡商,在发的充值券存在一定程序的可推测,或者消费账号可被推测。举例,某游戏激活码简单的组合发售,用户可通过暴力手段,直接用末购买的激活码激活游戏。

2.6 低价购买

某些网站通过id等手段进行价格判断,但存在一定逻辑缺陷。导致可利用低价商品的ID号购买高价值的商品。

2.7 恶意贷款

该种主要存在于P2P类的金融行业,在末知用户信用或真实贷款身份下存的的一类贷款行为,导致坏账率增加。

3 支付体系安全

支付体系在整个交易过程中,视为业务安全里最重要的环节,也是各类风控体系发挥巨大功效的地方。

3.1 数据篡改

在支付过程中,验签不严的情况下,极有可能产生数据篡改伪造。金额任意更改,溢出,负金额等等各种场景。

3.2 高并发缺陷

交易类重放攻击,高并发的情况下末对用户操作行为加锁,导致购买限制的绕过。比如,限制用户每月兑换3次流量,在瞬间重放大量请求的情况下,可能同时成功兑换远大于3次。或者余额只够购买一件产品的情况下,高并发发生交易成功,直接变负数的可能。

3.3 套现

套现行为包括:信用卡套现、抵用券套现、类似“京东”白条类信用产品套现。利用平台信用卡套现较为常见,尤其P2P金融和电商普遍存在,通过信用卡支付->提现等。再如抵用券套现,活动支付时购买两件商品,其中一件商品价格用抵用券足够,另外一件走卡支付,这样就可直接无风险套现抵用券。

3.4 支付行为可信

支付确认阶段,商家无法确定支付是否发生于账户真实主人。比如可能来自被盗账户的支付动作,直接导致正常用户资产损失。比如通过信用卡购买商品的后付费用户,攻击者利用盗取的信用卡绑定发生实际购买行为,平台在接受绑定后产生交易。但卡的真实主人申报该购买无效,不愿支付费用。交易已经发生,对于平台来讲就直接造成次产损失,该类攻击并不鲜见。

4 其它业务安全

4.1 垃圾评论

垃圾评论在社交类应用中大量存在,发广告、发敏感信息、灌水等。

4.2 垃圾消息

垃圾消息与垃圾评论基本上属于一类行为,在社交网站、电商网站,通过api接口漏洞,推送广告、钓鱼链接等等。业务层主要体现工单污染。

4.3 信息作弊

信息作弊主要指各类投票数据、集赞、浏览量、粉丝等通过csrf漏洞或者机器自动刷等,造成各类虚拟数据。

 

   
645 次浏览  评价: 差  订阅 捐助
 
相关文章

iOS应用安全开发,你不知道的那些事术
Web安全之SQL注入攻击
移动APP安全在渗透测试中的应用
从Google备份互联网看“数据安全”
 
相关文档

web安全设计与防护
互联网海量内容安全处理技术
黑客攻击与防范技术
WEB黑盒安全检测
 
相关课程

WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的J2EE Web应用代码
信息安全问题与防范
 

iOS应用安全开发
Web安全之SQL注入攻击
APP安全在渗透测试中的应用
初探PHP的SQL注入攻击的技术
从Google备份看“数据安全”
更多...   

WEB网站与应用安全原理与实践
web应用安全架构设计
创建安全的J2EE Web应用代码
注册信息安全专业人员(CISP)
信息安全管理
信息安全问题与防范

相关咨询服务
应用架构设计与构建

中国银行 信息安全技术及深度防御
Web应用安全架构、入侵检测与防护
某财税领域知名IT服务商 Web安全测试
普瑞克斯 web安全设计、测试与优化
北京和利时 性能和安全性测试
SUN中国工程研究院 JSF框架、安全
更多...   
 
 
 
 
 
每天2个文档/视频
扫描微信二维码订阅
订阅技术月刊
获得每月300个技术资源
 
 

关于我们 | 联系我们 | 京ICP备10020922号 京公海网安备110108001071号