淺談互聯網公司業務安全

淺談互聯網公司業務安全

BMa · 2015/09/08 10:47

 

0x00 我理解的業務安全

---

業務安全，按照百度百科的解釋：業務安全是指保護業務系統免受安全威脅的措施或手段。廣義的業務安全應包括業務運行的軟硬件平臺（操做系統、數據庫等）、業務系統自身（軟件或設備）、業務所提供的服務的安全；狹義的業務安全指業務系統自有的軟件與服務的安全。

個人理解：某個平臺上的業務是指該平臺用戶在使用過程當中涉及到的一系列流程，而業務安全就是保證這些流程按照預約的規則運行。

0x01 通用業務及威脅

---

因爲互聯網企業的特性，其主要業務直接體如今其平臺上。其中有很多通用的業務流程：

1.帳號體系

A．註冊

B．登陸

C．密碼找回

D．用戶信息存儲

2.其餘具體業務

A．購買/支付

B．優惠活動

C．搶購活動

D．…

來看看分別有哪些威脅：

1．對於帳號體系：

A．惡意用戶批量註冊帳號

B．撞庫（帳號安全）

C．批量重置用戶帳號，威脅其餘用戶帳號

2．其餘具體業務

A．惡意訂單（下單未支付）

B．低價購買

C．批量刷優惠券&其餘獎勵

D．搶購

E．竊取其餘用戶優惠券

F．購買限制（購買數量限制/未開放購買商品限制/特殊用戶商品限制）

G．價格爬蟲

H．做弊

I．黃牛限制

J．垃圾信息（用戶欺詐）

K．交易風控（交易限額/交易信息/用戶支付信息）

L．信息泄露（未開放業務上線）

M．黑色產業

N．虛假交易（刷信用/套現）

O．…

從上面的一些威脅能夠看出，帳號體系安全是其餘業務的基礎，與許多業務直接相關。

0x02 部分威脅解決方案

---

能夠從兩個方面尋找不一樣的解決方案：

1．從技術上看

A．帳號體系

a．註冊限制：

經過圖片驗證碼、短信驗證碼、郵件驗證碼等增長批量註冊的成本

收集註冊用戶數據，分析註冊後用戶的行爲。經過對比正經常使用戶與馬甲用戶的行爲、指紋等，標識馬甲用戶。或凍結沒有行爲的帳戶

b．登陸：

將分散的登陸入口統一，防止因爲遺漏而形成撞庫

增長圖片驗證碼等人機識別方式，防止登陸撞庫

限制帳號登陸頻率以及次數

經過數據分析用戶登陸趨勢圖，區分不用時間用戶嘗試登錄曲線、用戶登陸失敗曲線、用戶登陸成功曲線，能夠在發生撞庫行爲時作到及時響應

提示高危帳號進行密碼修改（登陸後推送）

創建用戶價值體系，經過用戶記錄、信用、行爲等不一樣維度數據創建用戶價值體系

c．密碼找回

優化密碼找回邏輯，防止邏輯錯誤

對返回用戶信息進行脫敏處理

經過數據分析用戶重置密碼趨勢圖，能夠在發生批量用戶密碼重置時作到及時響應

d．用戶信息存儲

例子： WooYun: 高德某站嚴重用戶信息泄漏（包含明文密碼）

對用戶信息進行加鹽哈希等處理

B．其餘具體業務

a．惡意訂單

經過用戶成功下單、支付等創建維度，凍結不符合規範的帳號，或在某段時間內限制其下單

b．低價購買&購買限制

驗證購買/支付流程，後臺增長校驗機制

c．批量刷優惠券&其餘獎勵&其餘用戶優惠券

例子： WooYun: 餓了麼邏輯漏洞之免費吃喝不是夢

綁定優惠券與帳號，限制單個號碼/帳號獲取的優惠券數量

對於批量註冊馬甲帳號的行爲能夠經過帳號體系進行限制

調整獎勵規則（現金變成券），增長使用成本（綁定身份證、銀行卡）

d．搶購&黃牛

縱深防護，從帳號體系開始

購買過程當中，增長人機識別，加大惡意搶購成本

增長黃牛檢測機制，經過收貨地址、帳號、訂單數量、手機號碼、收貨人等不一樣維度檢測黃牛帳號

過濾從其餘維度獲取的黃牛帳號

白名單用戶直接經過黃牛驗證

將付款後異常退款加入加入黑名單，標識帳號、收貨地址爲黃牛帳號

e．價格爬蟲&信息泄露

規範業務上線流程，防止未開放業務上線

增長反爬蟲機制，對訪問來源進行限制

f．垃圾信息（用戶欺詐）

例子： http://tech.qq.com/a/20150820/051352.htm

處理這類風險較複雜，能夠從用戶行爲特徵、用戶帳號信任評級加以區分

同時開啓用戶舉報功能

g．交易風控

例子：

WooYun: 攜程安全支付日誌可遍歷下載 致使大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)

WooYun: 騰邦國際某重要系統SQL注入24個庫DBA權限(涉及百萬酒店訂單信息+八萬信用卡信息+信用卡明文CVV碼)

合規性檢查，符合《銀聯卡收單機構帳戶信息安全管理標準》

h．黑色產業

分析具體業務，找出攻擊者獲利點

創建黑名單共享聯盟，將惡意的IP、用戶ID、郵箱地址、手機號碼等列入黑名單

在上面的部分中，能夠對用戶行爲進行分析、建模，例如：

A．正經常使用戶的流程/記錄爲：註冊—>登陸—>查詢—>下單—>支付—>查看訂單—>收貨

B．異經常使用戶的流程/記錄爲：註冊—>登陸—>領取優惠券

還能夠對日誌進行實時分析：

A．url深度(單斜杆出現次數)

B．訪問離散度(頁面數/訪問次數)

C．200響應比例

D．用戶訪問入口

2．從流程上看

A．項目立項風控、安全測試介入

業務評審、評估業務風險點

業務上線前通過安全測試，包括傳統安全、業務接口、業務邏輯、黑白盒測試

B．業務數據實時監控

C．異常事件介入分析

經過數據實時分析，肯定當前數據是否符合預期

D．業務規則動態調整

當出現非預期的情況時，適當調整、優化規則

E．止損控制

當業務從需求上沒法控制時，就要下降損失比例，減小業務損失

F．業務隔離

隔離重要業務與風險業務，使其單獨運行

0x03 業務安全挖掘思路

---

要挖掘業務漏洞，須要先了解業務邏輯（業務類型/流程），評估風險點。在業務流程中列出正常訪問與異常訪問區別，分析攻擊者的目的及獲利方式，對症下藥，同時還要排除傳統安全威脅。

推薦：

http://www.taobaotest.com/blogs/2248 http://www.taobaotest.com/blogs/2329

附（引用）：

企業安全建設與帳號體系.pdf

安全平臺建設與業務安全.pdf

http://www.wooyun.org