互联网业务安全之通用安全风险模型-安全-火龙果软件工程

捐助

互联网业务安全之通用安全风险模型

作者：扶夙来源：阿里安全发布于：2016-9-1

2933 次浏览

业务安全从流程设计维度可划分为账户体系安全、交易体系安全、支付体系安全、用户信息存储安全。后者对普通用户而言基本属于透明状态，对于电商/互联网金融/社交媒体更多面临的业务安全风险集中在账户/交易/支付三个维度内。

1 账户体系安全

账户体系安全在具体的业务细分中，最直接的业务体现则为注册、登录、找密三个主要入口。针对黑产或灰产抑或“羊毛党”的技术面分析主要有以下攻击、薅羊毛行为。

1.1 垃圾注册

垃圾注册主要指通过程序或者纯人力大量注册的非活越账号，这些账号不能直接给平台带来收益确在一定程度上提升运营成本。账号本身可能给注册行为人带去部份收益。P2P金融行业在注册投资回报现金时，经常会出现这类垃圾注册；电商行业主要用于虚假刷单；社交媒体则面临面临垃圾注册用于发送垃圾消息。

1.2 撞库攻击

撞库风险在登录、注册、找密等普遍存在，目前“黑产”主要通过大量泄漏的用户数据，在这些潜在风险的地方，进行账号检存操作，然后通过存在的账号测试对应密码检存；或者寻找无任何防御的登录口进行撞库。

1.3 盗号洗号

这类风险就不做多过多描述，攻击手法略多。

1.4 验证码安全

验证码在设计之初即为区分人与机器，在各类应用中广泛使用用于防护自动化攻击。但目前基于图形验证码安全的防护手段已基本不再属于黑产的障碍，众多的OCR产品以及更为通用的人工码平台，降成本高效率作业。对于有些网站仅采用手机验证码认证作为区分正常用户与“异常”用户，国内也已有非常成熟的“猫池”设备，提供在线手机打码测试。对于团购类、快车等平台，手机小号注册可直接获取巨大利益回报。举例：某团购平台，对于普通用户购买某火锅优惠券需要79元，新用户优惠价格只需要49元。该平台对于业务风控做了设备指纹操作，但依然可以通过模拟器用“手机码”平台进行下单操作。除掉小号成本5块，回报还是挺诱惑的。验证码安全参考

1.5 信息重放

1.6 找密/改密安全

找密/改密设计在验证逻辑上极易产生各种问题，找密密钥的可预测性，找密逻辑缺陷可直接修改收信邮箱，账号检存。改密通过id进行可能修改他人的密码，批量重置等等。从业务层考虑还有找回他人的密码导致财产损失。具体举例：有些产品从用户角度思考，提供更人性化的找密服务，会根据不同场景出现不同的找密方式，在末严格验证身份的情况下或设备指纹不可靠等，极有可能导致客户账号被攻击。

1.7 信息泄漏

业务层的信息泄漏，主要指服务自身的一些运营敏感数据泄漏。比如客户交易的cvv码，用户账号、密码、邮箱等。在账号体系中，该类泄漏非常常见，例如用某第三方开发的P2P程序，在登录时用户账号存在的情况下，直接ajax返回该用户的密码密文、手机号、邮箱等等信息。攻击者可能通过这些接口大量获取敏感信息。

2 交易体系安全

交易体系安全主要在电商、金融类发生实际交易的场景下出现，“羊毛党”或者问题商家在交易体系中，存在大量虚拟交易，信息作弊及各类针对活动场景的攻击。

2.1 刷库存

刷库存在电商类网站普遍存在，属于一种业务勒索型攻击。攻击者通过大量购买库存产品，但不发生实际支付行为，让正常用户无法正常购买。通过相对较成本低的价格带动数据增长的新商户而言，遭遇该类勒索型攻击较为常见。

2.2 刷单

业务数据造假，这种已形成比较成熟的产业链，目前玩法较多。对于验证真实快递单号的电商站，随便都能相互买到这类单号。

2.3 活动作弊

电商类网站在“双十一”之类的各种特殊节日，会推出大量的游戏送抵用券，送红包、送流量、送优惠券等等活动。如某送流量活动，输入手机号，鼠标点击鼓达某个阈值送多少流量，攻击者可直接修改js或者写js自动模拟点击刷活动。再比如，商家为了冲销量，经常举办前几百名免单活动，攻击者通过自动化脚本秒杀商品，大量薅这羊毛。这直接导致商家销售产品存在大量恶意退货、退款，对于正常用户而言，认为自己被耍猴；对于商家投资成本带来的回报与预期有较大出入。

2.4 刷排名

商家通过某些手段，规避虚拟物品限制转换实际产品销售。以处于边界的低价游戏产品，通过叫“白号秒单”(无太多记录的真实账号)的手段，大量刷销量，再更换类目产品，保持各类目都在销量靠前排名靠前，搜索推荐都是这类店铺，给消费者带来较大的损失。

2.5 权限绕过

严格意义来讲业务安全与传统web安全重叠的部份较多。权限绕过这里主要指的是，常见的一类逻辑漏洞。一类是末对用户开放或已下线的的商品，通过id可直接遍历到该商品，然后正常购买；另一类主要指，设计上的缺陷，比如有些卡商，在发的充值券存在一定程序的可推测，或者消费账号可被推测。举例，某游戏激活码简单的组合发售，用户可通过暴力手段，直接用末购买的激活码激活游戏。

2.6 低价购买

某些网站通过id等手段进行价格判断，但存在一定逻辑缺陷。导致可利用低价商品的ID号购买高价值的商品。

2.7 恶意贷款

该种主要存在于P2P类的金融行业，在末知用户信用或真实贷款身份下存的的一类贷款行为，导致坏账率增加。

3 支付体系安全

支付体系在整个交易过程中，视为业务安全里最重要的环节，也是各类风控体系发挥巨大功效的地方。

3.1 数据篡改

在支付过程中，验签不严的情况下，极有可能产生数据篡改伪造。金额任意更改，溢出，负金额等等各种场景。

3.2 高并发缺陷

交易类重放攻击，高并发的情况下末对用户操作行为加锁，导致购买限制的绕过。比如，限制用户每月兑换3次流量，在瞬间重放大量请求的情况下，可能同时成功兑换远大于3次。或者余额只够购买一件产品的情况下，高并发发生交易成功，直接变负数的可能。

3.3 套现

套现行为包括：信用卡套现、抵用券套现、类似“京东”白条类信用产品套现。利用平台信用卡套现较为常见，尤其P2P金融和电商普遍存在，通过信用卡支付->提现等。再如抵用券套现，活动支付时购买两件商品，其中一件商品价格用抵用券足够，另外一件走卡支付，这样就可直接无风险套现抵用券。

3.4 支付行为可信

支付确认阶段，商家无法确定支付是否发生于账户真实主人。比如可能来自被盗账户的支付动作，直接导致正常用户资产损失。比如通过信用卡购买商品的后付费用户，攻击者利用盗取的信用卡绑定发生实际购买行为，平台在接受绑定后产生交易。但卡的真实主人申报该购买无效，不愿支付费用。交易已经发生，对于平台来讲就直接造成次产损失，该类攻击并不鲜见。

4 其它业务安全

4.1 垃圾评论

垃圾评论在社交类应用中大量存在，发广告、发敏感信息、灌水等。

4.2 垃圾消息

垃圾消息与垃圾评论基本上属于一类行为，在社交网站、电商网站，通过api接口漏洞，推送广告、钓鱼链接等等。业务层主要体现工单污染。

4.3 信息作弊

信息作弊主要指各类投票数据、集赞、浏览量、粉丝等通过csrf漏洞或者机器自动刷等，造成各类虚拟数据。

2933 次浏览