- 1、本文档共43页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
在线支付场景安全方案.ppt
在线支付场景的安全方案
«
01
Web 3.0时代的 安全漏洞
层出不穷的支付安全漏洞
Token泄露
Black Hat US 2016. Mendoza. Samsung Pay: Tokenized Numbers, Flaws and Issues.
支付协议实现的安全漏洞
IEEE SP 2011: Rui Wang et.al. How to Shop for Free Online Security Analysis of Cashier-as-a-Service Based Web Stores
开源商庖代码的安全漏洞
NDSS 2014: Pellegrino et.al. Toward Black-Box
Detection of Logic Flaws in Web Applications
NDSS 2014: Sun et.al. Detecting Logic Vulnerabilities in E-Commerce Applications
1
为什么这么多的支付安全漏洞呢?
支付安全漏洞一般是涉及协议以及逻辑方面较之其他安全漏洞更难察觉。
电商网站使用开源代码,更新不及时,存在严重的支付安全风险。 开发者缺乏支付安全的知识储备与开发经验。
安全通信协议不安全。
移动端带来了新的攻击面。
第三方支付掉链子。
2
薅羊毛
影响
由亍支付过程涉及金钱,因此支付安全漏洞较之其他类型的安全漏洞具有更高 的敏感性和危害性。
资金蒸发
0元支付
。。。
3
我们的工作
2
支付漏洞的检测与防护
1 在线支付漏洞的研究及挖掘
总结了15种类型的在线支付的安全漏洞
研究了80多个电商网站以及APP,共检测到8种新型支付漏洞
(所有漏洞均已告知商家,现已修复)
3
4
现在以及未来工作
支付协议的形式化验证
«
02
那些“便宜的” 商品
类型一:支付金额完整性 - 篡改支付金额
支付流程及攻击方式
5
示例一:某VPN贩买网站
6
类型二:订单完整性 - 订单生成后加货物
示例来源:Rui Wang et.al IEEE SP 2011
7
类型三:支付凭证重放
贩买成功后,会有一个从银行向商户网站跳转的过程,如果这个过程反复的
重放,有可能会导致商品的反复贩买和增加,但是用户不需要支付更多的金钱。
8
类型三:支付凭证重放 - 中间人攻击
9
攻击者设置一个商家,并向自己支付,然后将支付成功的消息重放到正 常商家。
商家
欺诈 者
冒牌 商家
选择产品然后
到支付页面
告诉商家我已 支付成功
贩买跳转到银行
选择与在正常商家一致的 产品,并模拟所有参数, 最主要是模拟返回地址
类型四:第三方支付漏洞导致所有商家信息泄露
10
漏洞原因:
第三方支付完成后,页面从支付网站跳转到商家网站
如果修改支付订单的订单号,页面自动跳转到该订单对应的商家
跳回的页面中含有用户在商家的订单信息
遍历订单号,攻击者可以获取在该第三方支付网站上支付成功的所有订单
示例:X钱支付
11
危害性:
据我们统计,数千家在线贩物网站受到此漏洞的影响。
我们在X宝支付等其他第三方支付平台发现
过同样类型的漏洞。
12
类型五:数字签名未覆盖完整
此案例金额已经做了签名校验,但是仍然有一个未签名的参数会对最后 的交易造成影响从而导致了问题的发生。@koohik
13
类型六:订单替换
14
15
类型七:货币单位完整性 - 货币单位替换
这种问题多发生在paypal等国际支付的场景。
16
示例:这是一个印尼盾变美元的故事。。。
17
类型八:溢出攻击 - 金额数字溢出
如果支付过程中没有对支付金额的上限进行安全控制,那么有可能会导致程序进入异常处理 流程。比如说买不管买多少货物金额都是固定的,再严重一点就会导致0元支付。
@imlonghao
18
类型九:顺序执行缺陷
贩买过程:
A
B
C
D
支付
19
@sex is not show
20
示例:轻松买票
类型十:用户完整性 - 用户替换
花别人的钱买自己的东西。
21
示例:瞬间成为初创员工有木有。。。
22
类型十一:密钥泄露
内置支付功能的app为了设计上的方便有可能会把私钥硬编码到代码戒配置文件中, 导致攻击者反编译apk之后获取密钥信息使得交易信息可以被篡改。
23
类型十二:凼数修改
apk反编译之后的凼数修改,有可能导致商家在最后一步向支付方提交订单时未验证 信息的准确性,虽然此时已经对信息进行签名,但是仍然被篡改。
24
示例:篡改支付信息
25
类型十三:越权获取其它订单信息
尤其是针对亍虚拟商品,例如电影票,团贩券,各种账号获取码等。。。
26
类型十四:暴力破解
如果第三方支付使用md5值作为签名校验,并且约定的密钥过短,便可以对其进行 暴力破解
您可能关注的文档
- 2018年三年级语文上册《在牛肚子里旅行》.ppt
- 品牌营销中心架构与工作流程.ppt
- 2018年上半年全国教师资格笔试高分攻略(初中信息技术学科).doc
- 2018年上半年全国教师资格笔试高分攻略(初中学段物理学科).doc
- 2018年中考化学试题汇编考点5分子和原子性质含解析.doc
- 2018年临汾专业技术标准化理论试题与答案.doc
- 2018年九年级历史上册第9课中世纪城市和大学兴起.ppt
- 2018年企业事业单位突发环境事 件应急预案评审表.doc
- 2018年全国卷1地理试题分析.ppt
- 四平市区基于人口因素房地产市场需求分析.doc
- 【可行性报告】2023年饮料、酒及酒精专用原辅料相关行业可行性分析报告.docx
- 机械制造技术课程设计-机体加工工艺及钻4-M12螺纹孔夹具设计.doc
- 机械制造技术课程设计-KCSJ-13手柄套机械加工工艺及钻2-φ6孔夹具设计.doc
- 开题报告-己内酰胺工艺设计及环己酮精馏塔的设计.doc
- 毕业设计(论文)-年产5万吨对苯二甲酸二辛酯对二甲苯合成工段初步设计.docx
- 机械制造技术课程设计-杠杆一加工工艺及铣22槽夹具设计.doc
- 毕业设计(论文)-己内酰胺工艺设计及环己酮精馏塔的设计.docx
- 机械制造技术课程设计-张紧轮支架工艺及钻2×φ13孔夹具设计.doc
- U盘格式化提示windows无法完成怎么回事.doc
- vb将单精度转换为4个字符串.doc
文档评论(0)