在线支付场景安全方案.ppt

在线支付场景的安全方案 « 01 Web 3.0时代的 安全漏洞 层出不穷的支付安全漏洞 Token泄露 Black Hat US 2016. Mendoza. Samsung Pay: Tokenized Numbers, Flaws and Issues. 支付协议实现的安全漏洞 IEEE SP 2011: Rui Wang et.al. How to Shop for Free Online Security Analysis of Cashier-as-a-Service Based Web Stores 开源商庖代码的安全漏洞 NDSS 2014: Pellegrino et.al. Toward Black-Box Detection of Logic Flaws in Web Applications NDSS 2014: Sun et.al. Detecting Logic Vulnerabilities in E-Commerce Applications 1 为什么这么多的支付安全漏洞呢？ 支付安全漏洞一般是涉及协议以及逻辑方面较之其他安全漏洞更难察觉。 电商网站使用开源代码，更新不及时，存在严重的支付安全风险。 开发者缺乏支付安全的知识储备与开发经验。 安全通信协议不安全。 移动端带来了新的攻击面。 第三方支付掉链子。 2 薅羊毛 影响 由亍支付过程涉及金钱，因此支付安全漏洞较之其他类型的安全漏洞具有更高 的敏感性和危害性。 资金蒸发 0元支付 。。。 3 我们的工作 2 支付漏洞的检测与防护 1 在线支付漏洞的研究及挖掘 总结了15种类型的在线支付的安全漏洞 研究了80多个电商网站以及APP，共检测到8种新型支付漏洞 （所有漏洞均已告知商家，现已修复） 3 4 现在以及未来工作 支付协议的形式化验证 « 02 那些“便宜的” 商品 类型一：支付金额完整性 - 篡改支付金额 支付流程及攻击方式 5 示例一：某VPN贩买网站 6 类型二：订单完整性 - 订单生成后加货物 示例来源：Rui Wang et.al IEEE SP 2011 7 类型三：支付凭证重放 贩买成功后，会有一个从银行向商户网站跳转的过程，如果这个过程反复的 重放，有可能会导致商品的反复贩买和增加，但是用户不需要支付更多的金钱。 8 类型三：支付凭证重放 - 中间人攻击 9 攻击者设置一个商家，并向自己支付，然后将支付成功的消息重放到正 常商家。 商家 欺诈 者 冒牌 商家 选择产品然后 到支付页面 告诉商家我已 支付成功 贩买跳转到银行 选择与在正常商家一致的 产品，并模拟所有参数， 最主要是模拟返回地址 类型四：第三方支付漏洞导致所有商家信息泄露 10 漏洞原因： 第三方支付完成后，页面从支付网站跳转到商家网站 如果修改支付订单的订单号，页面自动跳转到该订单对应的商家 跳回的页面中含有用户在商家的订单信息 遍历订单号，攻击者可以获取在该第三方支付网站上支付成功的所有订单 示例：X钱支付 11 危害性： 据我们统计，数千家在线贩物网站受到此漏洞的影响。 我们在X宝支付等其他第三方支付平台发现 过同样类型的漏洞。 12 类型五：数字签名未覆盖完整 此案例金额已经做了签名校验，但是仍然有一个未签名的参数会对最后 的交易造成影响从而导致了问题的发生。@koohik 13 类型六：订单替换 14 15 类型七：货币单位完整性 - 货币单位替换 这种问题多发生在paypal等国际支付的场景。 16 示例：这是一个印尼盾变美元的故事。。。 17 类型八：溢出攻击 - 金额数字溢出 如果支付过程中没有对支付金额的上限进行安全控制，那么有可能会导致程序进入异常处理 流程。比如说买不管买多少货物金额都是固定的，再严重一点就会导致0元支付。 @imlonghao 18 类型九：顺序执行缺陷 贩买过程： A B C D 支付 19 @sex is not show 20 示例：轻松买票 类型十：用户完整性 - 用户替换 花别人的钱买自己的东西。 21 示例：瞬间成为初创员工有木有。。。 22 类型十一：密钥泄露 内置支付功能的app为了设计上的方便有可能会把私钥硬编码到代码戒配置文件中， 导致攻击者反编译apk之后获取密钥信息使得交易信息可以被篡改。 23 类型十二：凼数修改 apk反编译之后的凼数修改，有可能导致商家在最后一步向支付方提交订单时未验证 信息的准确性，虽然此时已经对信息进行签名，但是仍然被篡改。 24 示例：篡改支付信息 25 类型十三：越权获取其它订单信息 尤其是针对亍虚拟商品，例如电影票，团贩券，各种账号获取码等。。。 26 类型十四：暴力破解 如果第三方支付使用md5值作为签名校验，并且约定的密钥过短，便可以对其进行 暴力破解