互聯網業務安全之通用安全風險模型

時間 2020-01-27

原文原文鏈接

業務安全從流程設計維度可劃分爲帳戶體系安全、交易體系安全、支付體系安全、用戶信息存儲安全。後者對普通用戶而言基本屬於透明狀態，對於電商/互聯網金融/社交媒體更多面臨的業務安全風險集中在帳戶/交易/支付三個維度內。
html

1 帳戶體系安全

帳戶體系安全在具體的業務細分中，最直接的業務體現則爲註冊、登陸、找密三個主要入口。針對黑產或灰產抑或「羊毛黨」的技術面分析主要有如下攻擊、薅羊毛行爲。web

1.1 垃圾註冊

垃圾註冊主要指經過程序或者純人力大量註冊的非活越帳號，這些帳號不能直接給平臺帶來收益確在必定程度上提高運營成本。帳號自己可能給註冊行爲人帶去部份收益。P2P金融行業在註冊投資回報現金時，常常會出現這類垃圾註冊；電商行業主要用於虛假刷單；社交媒體則面臨面臨垃圾註冊用於發送垃圾消息。ajax

1.2 撞庫攻擊

撞庫風險在登陸、註冊、找密等廣泛存在，目前「黑產」主要經過大量泄漏的用戶數據，在這些潛在風險的地方，進行帳號檢存操做，而後經過存在的帳號測試對應密碼檢存；或者尋找無任何防護的登陸口進行撞庫。api

1.3 盜號洗號

這類風險就不作多過多描述，攻擊手法略多。安全

1.4 驗證碼安全

驗證碼在設計之初即爲區分人與機器，在各種應用中普遍使用用於防禦自動化攻擊。但目前基於圖形驗證碼安全的防禦手段已基本再也不屬於黑產的障礙，衆多的OCR產品以及更爲通用的人工碼平臺，降成本高效率做業。對於有些網站僅採用手機驗證碼認證做爲區分正經常使用戶與「異常」用戶，國內也已有很是成熟的「貓池」設備，提供在線手機打碼測試。對於團購類、快車等平臺，手機小號註冊可直接獲取巨大利益回報。舉例：某團購平臺，對於普通用戶購買某火鍋優惠券須要79元，新用戶優惠價格只須要49元。該平臺對於業務風控作了設備指紋操做，但依然能夠經過模擬器用「手機碼」平臺進行下單操做。除掉小號成本5塊，回報仍是挺誘惑的。驗證碼安全參考session

1.5 信息重放

登陸/註冊/找密等入口，可能經過短信驗證碼、郵箱驗證碼之類的進行確認操做，若是末對操做進行次數及頻率上的限制，則會產生大量的重放攻擊。另外，對於驗證邏輯缺陷類的，例如session末及時刪除，可能致使驗證碼被重放，繞過一些人機基礎防禦等。併發

1.6 找密/改密安全

找密/改密設計在驗證邏輯上極易產生各類問題，找密密鑰的可預測性，找密邏輯缺陷可直接修改收信郵箱，帳號檢存。改密經過id進行可能修改他人的密碼，批量重置等等。從業務層考慮還有找回他人的密碼致使財產損失。具體舉例：有些產品從用戶角度思考，提供更人性化的找密服務，會根據不一樣場景出現不一樣的找密方式，在末嚴格驗證身份的狀況下或設備指紋不可靠等，極有可能致使客戶帳號被攻擊。高併發

1.7 信息泄漏

業務層的信息泄漏，主要指服務自身的一些運營敏感數據泄漏。好比客戶交易的cvv碼，用戶帳號、密碼、郵箱等。在帳號體系中，該類泄漏很是常見，例如用某第三方開發的P2P程序，在登陸時用戶帳號存在的狀況下，直接ajax返回該用戶的密碼密文、手機號、郵箱等等信息。攻擊者可能經過這些接口大量獲取敏感信息。web安全

2 交易體系安全

交易體系安全主要在電商、金融類發生實際交易的場景下出現，「羊毛黨」或者問題商家在交易體系中，存在大量虛擬交易，信息做弊及各種針對活動場景的攻擊。測試

2.1 刷庫存

刷庫存在電商類網站廣泛存在，屬於一種業務勒索型攻擊。攻擊者經過大量購買庫存產品，但不發生實際支付行爲，讓正經常使用戶沒法正常購買。經過相對較成本低的價格帶動數據增加的新商戶而言，遭遇該類勒索型攻擊較爲常見。

2.2 刷單

業務數據造假，這種已造成比較成熟的產業鏈，目前玩法較多。對於驗證真實快遞單號的電商站，隨便都能相互買到這類單號。

2.3 活動做弊

電商類網站在「雙十一」之類的各類特殊節日，會推出大量的遊戲送抵用券，送紅包、送流量、送優惠券等等活動。如某送流量活動，輸入手機號，鼠標點擊鼓達某個閾值送多少流量，攻擊者可直接修改js或者寫js自動模擬點擊刷活動。再好比，商家爲了沖銷量，常常舉辦前幾百名免單活動，攻擊者經過自動化腳本秒殺商品，大量薅這羊毛。這直接致使商家銷售產品存在大量惡意退貨、退款，對於正經常使用戶而言，認爲本身被耍猴；對於商家投資成本帶來的回報與預期有較大出入。

2.4 刷排名

商家經過某些手段，規避虛擬物品限制轉換實際產品銷售。以處於邊界的低價遊戲產品，經過叫「白號秒單」(無太多記錄的真實帳號)的手段，大量刷銷量，再更換類目產品，保持各種目都在銷量靠前排名靠前，搜索推薦都是這類店鋪，給消費者帶來較大的損失。

2.5 權限繞過

嚴格意義來說業務安全與傳統web安全重疊的部份較多。權限繞過這裏主要指的是，常見的一類邏輯漏洞。一類是末對用戶開放或已下線的的商品，經過id可直接遍歷到該商品，而後正常購買；另外一類主要指，設計上的缺陷，好比有些卡商，在發的充值券存在必定程序的可推測，或者消費帳號可被推測。舉例，某遊戲激活碼簡單的組合發售，用戶可經過暴力手段，直接用末購買的激活碼激活遊戲。

2.6 低價購買

某些網站經過id等手段進行價格判斷，但存在必定邏輯缺陷。致使可利用低價商品的ID號購買高價值的商品。

2.7 惡意貸款

該種主要存在於P2P類的金融行業，在末知用戶信用或真實貸款身份下存的的一類貸款行爲，致使壞帳率增長。

3 支付體系安全

支付體系在整個交易過程當中，視爲業務安全裏最重要的環節，也是各種風控體系發揮巨大功效的地方。

3.1 數據篡改

在支付過程當中，驗籤不嚴的狀況下，極有可能產生數據篡改僞造。金額任意更改，溢出，負金額等等各類場景。

3.2 高併發缺陷

交易類重放攻擊，高併發的狀況下末對用戶操做行爲加鎖，致使購買限制的繞過。好比，限制用戶每個月兌換3次流量，在瞬間重放大量請求的狀況下，可能同時成功兌換遠大於3次。或者餘額只夠購買一件產品的狀況下，高併發發生交易成功，直接變負數的可能。

3.3 套現

套現行爲包括：信用卡套現、抵用券套現、相似「京東」白條類信用產品套現。利用平臺信用卡套現較爲常見，尤爲P2P金融和電商廣泛存在，經過信用卡支付->提現等。再如抵用券套現，活動支付時購買兩件商品，其中一件商品價格用抵用券足夠，另一件走卡支付，這樣就可直接無風險套現抵用券。

3.4 支付行爲可信

支付確認階段，商家沒法肯定支付是否發生於帳戶真實主人。好比可能來自被盜帳戶的支付動做，直接致使正經常使用戶資產損失。好比經過信用卡購買商品的後付費用戶，攻擊者利用盜取的信用卡綁定發生實際購買行爲，平臺在接受綁定後產生交易。但卡的真實主人申報該購買無效，不肯支付費用。交易已經發生，對於平臺來說就直接形成次產損失，該類攻擊並不鮮見。