阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 7235阅读
  • 2回复

[安全漏洞公告专区]互联网业务安全之通用安全风险模型

发帖
107
云币
373
— 本帖被 linanxiaoxiao 设置为精华(2016-08-18) —
yeqZPz n  
互联网业务安全之通用安全风险模型
w+(bkqz]  
作者: 扶夙@阿里安全
  
/\"=egB9  

lPFT)>(+@  
UaA6  
Q9=X|  
{]]qd!,  
f mILkXKz  
业务安全从流程设计维度可划分为账户体系安全、交易体系安全、支付体系安全、用户信息存储安全。后者对普通用户而言基本属于透明状态,对于电商/互联网金融/社交媒体更多面临的业务安全风险集中在账户/交易/支付三个维度内。 WDNuR #J?  
Q"n|<!DN  
1 账户体系安全 /DA'p[,  
:KGUO{_u  
账户体系安全在具体的业务细分中,最直接的业务体现则为注册、登录、找密三个主要入口。针对黑产或灰产抑或“羊毛党”的技术面分析主要有以下攻击、薅羊毛行为。 AI}29L3C  
i9+(gX(t  
1.1 垃圾注册 A q;]al  
nm2bBX,fh  
垃圾注册主要指通过程序或者纯人力大量注册的非活越账号,这些账号不能直接给平台带来收益确在一定程度上提升运营成本。账号本身可能给注册行为人带去部份收益。P2P金融行业在注册投资回报现金时,经常会出现这类垃圾注册;电商行业主要用于虚假刷单;社交媒体则面临面临垃圾注册用于发送垃圾消息。 J=|PZ2"  
FWcE\;%yVg  
1.2 撞库攻击 me"}1REa  
.I_Mmaq;i  
撞库风险在登录、注册、找密等普遍存在,目前“黑产”主要通过大量泄漏的用户数据,在这些潜在风险的地方,进行账号检存操作,然后通过存在的账号测试对应密码检存;或者寻找无任何防御的登录口进行撞库。 g0NtM%  
^=Q/ H  
1.3 盗 号洗号 u+"3l@Y#  
~fbFA?g3  
这类风险就不做多过多描述,攻击手法略多。 ")LcB' C  
]JF>a_2wG  
1.4 验证码安全 ?_*X\En*3  
KvW {M  
验证码在设计之初即为区分人与机器,在各类应用中广泛使用用于防护动化攻击。但目前基于图形验证码安全的防护手段已基本不再属于黑产的障碍,众多的OCR产品以及更为通用的人工码平台,降成本高效率作业。对于有些网站仅采用手机验证码认证作为区分正常用户与“异常”用户,国内也已有非常成熟的“猫池”设备,提供在线手机打码测试。对于团购类、快车等平台,手机小号注册可直接获取巨大利益回报。举例:某团购平台,对于普通用户购买某火锅优惠券需要79元,新用户优惠价格只需要49元。该平台对于业务风控做了设备指纹操作,但依然可以通过模拟器用“手机码”平台进行下单操作。除掉小号成本5块,回报还是挺诱惑的。验证码安全参考 PLlad\  
( `T;nz  
1.5 信息重放 LPO:K a  
7 06-QE^  
登录/注册/找密等入口,可能通过短信验证码、邮箱验证码之类的进行确认操作,如果末对操作进行次数及频率上的限制,则会产生大量的重放攻击。另外,对于验证逻辑缺陷类的,例如session末及时删除,可能导致验证码被重放,绕过一些人机基础防护等。 <=2\xJfxB  
I(!i"b9  
1.6 找密/改密安全 OOJg%y*H  
=wbgZr^2  
找密/改密设计在验证逻辑上极易产生各种问题,找密密钥的可预测性,找密逻辑缺陷可直接修改收信邮箱,账号检存。改密通过id进行可能修改他人的密码,批量重置等等。从业务层考虑还有找回他人的密码导致财产损失。具体举例:有些产品从用户角度思考,提供更人性化的找密服务,会根据不同场景出现不同的找密方式,在末严格验证身份的情况下或设备指纹不可靠等,极有可能导致客户账号被攻击。 P]w5`aBM  
xe9E</M_  
1.7 信息泄漏 d^AXhQjQN-  
EY'kIVk  
业务层的信息泄漏,主要指服务自身的一些运营敏感数据泄漏。比如客户交易的cvv码,用户账号、密码、邮箱等。在账号体系中,该类泄漏非常常见,例如用某第三方开发的P2P程序,在登录时用户账号存在的情况下,直接ajax返回该用户的密码密文、手机号、邮箱等等信息。攻击者可能通过这些接口大量获取敏感信息。 W !TnS/O_1  
eW%Cef  
2 交易体系安全 +P YX.  
RN2^=$'.  
交易体系安全主要在电商、金融类发生实际交易的场景下出现,“羊毛党”或者问题商家在交易体系中,存在大量虚拟交易,信息作弊及各类针对活动场景的攻击。 Uj]Tdg  
;$=kfj9 :7  
`wIMu$i  
2.1 刷库存 mk*r^k`a  
~^Ceru"<  
刷库存在电商类网站普遍存在,属于一种业务勒索型攻击。攻击者通过大量购买库存产品,但不发生实际支付行为,让正常用户无法正常购买。通过相对较成本低的价格带动数据增长的新商户而言,遭遇该类勒索型攻击较为常见。 |7XPu  
]/31@RT  
2.2 刷单 Wgp}v93  
B8J_^kd  
业务数据造假,这种已形成比较成熟的产业链,目前玩法较多。对于验证真实快递单号的电商站,随便都能相互买到这类单号。 `X;'*E]e  
,v^A;,q  
.AHf]X0  
sn>2dRW{  
2.3 活动作弊 4th*=ku  
HRP  
电商类网站在“双十一”之类的各种特殊节日,会推出大量的游戏送抵用券,送红包、送流量、送优惠券等等活动。如某送流量活动,输入手机号,鼠标点击鼓达某个阈值送多少流量,攻击者可直接修改js或者写js自动模拟点击刷活动。再比如,商家为了冲销量,经常举办前几百名免单活动,攻击者通过自动化脚本秒杀商品,大量薅这羊毛。这直接导致商家销售产品存在大量恶意退货、退款,对于正常用户而言,认为自己被耍猴;对于商家投资成本带来的回报与预期有较大出入。 \ B \G=Y  
(3. B\8s  
2.4 刷排名 :`jB1rI  
Ufw_GYxan  
商家通过某些手段,规避虚拟物品限制转换实际产品销售。以处于边界的低价游戏产品,通过叫“白号秒单”(无太多记录的真实账号)的手段,大量刷销量,再更换类目产品,保持各类目都在销量靠前排名靠前,搜索推荐都是这类店铺,给消费者带来较大的损失。 Z+8Q{|Ev  
,1|Qm8O  
2.5 权限绕过 G+5_I"`W  
V= wWY*C  
严格意义来讲业务安全与传统web安全重叠的部份较多。权限绕过这里主要指的是,常见的一类逻辑漏洞。一类是末对用户开放或已下线的的商品,通过id可直接遍历到该商品,然后正常购买;另一类主要指,设计上的缺陷,比如有些卡商,在发的充值券存在一定程序的可推测,或者消费账号可被推测。举例,某游戏激活码简单的组合发售,用户可通过暴力手段,直接用末购买的激活码激活游戏。 =qWcw7!"  
W{@,DQ  
2.6 低价购买 GMv.G  
5u5-:#sLy  
某些网站通过id等手段进行价格判断,但存在一定逻辑缺陷。导致可利用低价商品的ID号购买高价值的商品。 ]S2F9  
eE=}^6)(*  
2.7 恶意贷款 v?Ds|  
#B$r|rqamq  
该种主要存在于P2P类的金融行业,在末知用户信用或真实贷款身份下存的的一类贷款行为,导致坏账率增加。 *#y9P ve  
- f&m4J} E  
3 支付体系安全 )(/Bw&$  
z JBcz,  
支付体系在整个交易过程中,视为业务安全里最重要的环节,也是各类风控体系发挥巨大功效的地方。 #qnK nxD  
XI5TVxo(q  
3.1 数据篡改 5+Ld1nom  
7;8DKY q  
在支付过程中,验签不严的情况下,极有可能产生数据篡改伪造。金额任意更改,溢出,负金额等等各种场景。 6,raRg6  
0F5QAR O  
3.2 高并发缺陷 =".sCV9"N  
8 *Y(wqH  
交易类重放攻击,高并发的情况下末对用户操作行为加锁,导致购买限制的绕过。比如,限制用户每月兑换3次流量,在瞬间重放大量请求的情况下,可能同时成功兑换远大于3次。或者余额只够购买一件产品的情况下,高并发发生交易成功,直接变负数的可能。 F'^y?UP[  
L> \/%x>Wx  
3.3 套现 O>c2*9PM  
l0&U7gr  
套现行为包括:信用卡 套现、抵用券 套现、类似“京东”白条类信用产品套现。利用平台信用卡 套现较为常见,尤其P2P金融和电商普遍存在,通过信用卡支付->提现等。再如抵用券套现,活动支付时购买两件商品,其中一件商品价格用抵用券足够,另外一件走卡支付,这样就可直接无风险套现抵用券。 )b=m|A GX  
=XhxD<kI  
3.4 支付行为可信 Qd"R@+i  
cT.8&EEW  
支付确认阶段,商家无法确定支付是否发生于账户真实主人。比如可能来自被盗账户的支付动作,直接导致正常用户资产损失。比如通过信用卡购买商品的后付费用户,攻击者利用盗取的信用卡绑定发生实际购买行为,平台在接受绑定后产生交易。但卡的真实主人申报该购买无效,不愿支付费用。交易已经发生,对于平台来讲就直接造成次产损失,该类攻击并不鲜见。 6j6P&[  
DQy;W  ov  
4 其它业务安全 U|jip1\  
E]&tgZO  
4.1垃圾评论 y**>l{!!  
I AFj_VWC0  
垃圾评论在社交类应用中大量存在,发广告、发敏感信息、灌水等。 8eDKN9kq  
6xW17P  
4.2 垃圾消息 >U#j\2!Sg  
z#Cgd-^7.#  
垃圾消息与垃圾评论基本上属于一类行为,在社交网站、电商网站,通过api接口漏洞,推送广告、钓鱼链接等等。业务层主要体现工单污染。 [E:-$R  
|QO)x En~  
4.3 信息作弊 IuOQX}  
}Zp5d7(@w  
信息作弊主要指各类投票数据、集赞、浏览量、粉丝等通过csrf漏洞或者机器自动刷等,造成各类虚拟数据。 p}MH LM  
+]S!pyZ"   
[h@MA|  
NVG`XL  
+l@+e_>  
作者: 扶夙@阿里安全,更多安全类文章,请访问阿里聚安全博客 Y^ ti;:  
W}.p,d  
[ 此帖被移动安全在2016-08-17 15:32重新编辑 ]
本帖最近评分记录: 1 条评分 云币 +1
宝商科技 云币 +1 您的帖子很精彩!希望很快能再分享您的下一帖! 2016-08-21
级别: 管理员
发帖
759
云币
1687
只看该作者 沙发  发表于: 2016-08-18
帮推荐啦!加个精!
级别: 论坛版主
发帖
1030
云币
855
只看该作者 板凳  发表于: 2016-08-21
您的帖子很精彩!希望很快能再分享您的下一帖!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)