業務安全從流程設計次元可劃分為賬戶體系安全、交易體系安全、支付體系安全、使用者資訊存儲安全。後者對普通使用者而言基本屬于透明狀态,對于電商/網際網路金融/社交媒體更多面臨的業務安全風險集中在賬戶/交易/支付三個次元内。
賬戶體系安全在具體的業務細分中,最直接的業務展現則為注冊、登入、找密三個主要入口。針對黑産或灰産抑或“羊毛黨”的技術面分析主要有以下攻擊、薅羊毛行為。
垃圾注冊主要指通過程式或者純人力大量注冊的非活越賬号,這些賬号不能直接給平台帶來收益确在一定程度上提升營運成本。賬号本身可能給注冊行為人帶去部份收益。p2p金融行業在注冊投資回報現金時,經常會出現這類垃圾注冊;電商行業主要用于虛假刷單;社交媒體則面臨面臨垃圾注冊用于發送垃圾消息。
撞庫風險在登入、注冊、找密等普遍存在,目前“黑産”主要通過大量洩漏的使用者資料,在這些潛在風險的地方,進行賬号檢存操作,然後通過存在的賬号測試對應密碼檢存;或者尋找無任何防禦的登入口進行撞庫。
這類風險就不做多過多描述,攻擊手法略多。
登入/注冊/找密等入口,可能通過短信驗證碼、郵箱驗證碼之類的進行确認操作,如果末對操作進行次數及頻率上的限制,則會産生大量的重播攻擊。另外,對于驗證邏輯缺陷類的,例如session末及時删除,可能導緻驗證碼被重放,繞過一些人機基礎防護等。
找密/改密設計在驗證邏輯上極易産生各種問題,找密密鑰的可預測性,找密邏輯缺陷可直接修改收信郵箱,賬号檢存。改密通過id進行可能修改他人的密碼,批量重置等等。從業務層考慮還有找回他人的密碼導緻财産損失。具體舉例:有些産品從使用者角度思考,提供更人性化的找密服務,會根據不同場景出現不同的找密方式,在末嚴格驗證身份的情況下或裝置指紋不可靠等,極有可能導緻客戶賬号被攻擊。
業務層的資訊洩漏,主要指服務自身的一些營運敏感資料洩漏。比如客戶交易的cvv碼,使用者賬号、密碼、郵箱等。在賬号體系中,該類洩漏非常常見,例如用某第三方開發的p2p程式,在登入時使用者賬号存在的情況下,直接ajax傳回該使用者的密碼密文、手機号、郵箱等等資訊。攻擊者可能通過這些接口大量擷取敏感資訊。
交易體系安全主要在電商、金融類發生實際交易的場景下出現,“羊毛黨”或者問題商家在交易體系中,存在大量虛拟交易,資訊作弊及各類針對活動場景的攻擊。
刷庫存在電商類網站普遍存在,屬于一種業務勒索型攻擊。攻擊者通過大量購買庫存産品,但不發生實際支付行為,讓正常使用者無法正常購買。通過相對較成本低的價格帶動資料增長的新商戶而言,遭遇該類勒索型攻擊較為常見。
業務資料造假,這種已形成比較成熟的産業鍊,目前玩法較多。對于驗證真實快遞單号的電商站,随便都能互相買到這類單号。
電商類網站在“雙十一”之類的各種特殊節日,會推出大量的遊戲送抵用券,送紅包、送流量、送優惠券等等活動。如某送流量活動,輸入手機号,滑鼠點選鼓達某個門檻值送多少流量,攻擊者可直接修改js或者寫js自動模拟點選刷活動。再比如,商家為了沖銷量,經常舉辦前幾百名免單活動,攻擊者通過自動化腳本秒殺商品,大量薅這羊毛。這直接導緻商家銷售産品存在大量惡意退貨、退款,對于正常使用者而言,認為自己被耍猴;對于商家投資成本帶來的回報與預期有較大出入。
商家通過某些手段,規避虛拟物品限制轉換實際産品銷售。以處于邊界的低價遊戲産品,通過叫“白号秒單”(無太多記錄的真實賬号)的手段,大量刷銷量,再更換類目産品,保持各類目都在銷量靠前排名靠前,搜尋推薦都是這類店鋪,給消費者帶來較大的損失。
嚴格意義來講業務安全與傳統web安全重疊的部份較多。權限繞過這裡主要指的是,常見的一類邏輯漏洞。一類是末對使用者開放或已下線的的商品,通過id可直接周遊到該商品,然後正常購買;另一類主要指,設計上的缺陷,比如有些卡商,在發的充值券存在一定程式的可推測,或者消費賬号可被推測。舉例,某遊戲激活碼簡單的組合發售,使用者可通過暴力手段,直接用末購買的激活碼激活遊戲。
某些網站通過id等手段進行價格判斷,但存在一定邏輯缺陷。導緻可利用低價商品的id号購買高價值的商品。
該種主要存在于p2p類的金融行業,在末知使用者信用或真實貸款身份下存的的一類貸款行為,導緻壞賬率增加。
支付體系在整個交易過程中,視為業務安全裡最重要的環節,也是各類風控體系發揮巨大功效的地方。
在支付過程中,驗簽不嚴的情況下,極有可能産生資料篡改僞造。金額任意更改,溢出,負金額等等各種場景。
交易類重播攻擊,高并發的情況下末對使用者操作行為加鎖,導緻購買限制的繞過。比如,限制使用者每月兌換3次流量,在瞬間重放大量請求的情況下,可能同時成功兌換遠大于3次。或者餘額隻夠購買一件産品的情況下,高并發發生交易成功,直接變負數的可能。
套現行為包括:信用卡套現、抵用券套現、類似“京東”白條類信用産品套現。利用平台信用卡套現較為常見,尤其p2p金融和電商普遍存在,通過信用卡支付->提現等。再如抵用券套現,活動支付時購買兩件商品,其中一件商品價格用抵用券足夠,另外一件走卡支付,這樣就可直接無風險套現抵用券。
支付确認階段,商家無法确定支付是否發生于賬戶真實主人。比如可能來自被盜賬戶的支付動作,直接導緻正常使用者資産損失。比如通過信用卡購買商品的後付費使用者,攻擊者利用盜取的信用卡綁定發生實際購買行為,平台在接受綁定後産生交易。但卡的真實主人申報該購買無效,不願支付費用。交易已經發生,對于平台來講就直接造成次産損失,該類攻擊并不鮮見。
垃圾評論在社交類應用中大量存在,發廣告、發敏感資訊、灌水等。
垃圾消息與垃圾評論基本上屬于一類行為,在社交網站、電商網站,通過api接口漏洞,推送廣告、釣魚連結等等。業務層主要展現工單污染。
資訊作弊主要指各類投票資料、集贊、浏覽量、粉絲等通過csrf漏洞或者機器自動刷等,造成各類虛拟資料。