浅谈互联网公司业务安全

时间 2019-12-12

原文原文链接

浅谈互联网公司业务安全

BMa · 2015/09/08 10:47

0x00 我理解的业务安全

业务安全，按照百度百科的解释：业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台（操做系统、数据库等）、业务系统自身（软件或设备）、业务所提供的服务的安全；狭义的业务安全指业务系统自有的软件与服务的安全。数据库

个人理解：某个平台上的业务是指该平台用户在使用过程当中涉及到的一系列流程，而业务安全就是保证这些流程按照预约的规则运行。安全

0x01 通用业务及威胁

因为互联网企业的特性，其主要业务直接体如今其平台上。其中有很多通用的业务流程：测试

1.帐号体系

A．注册优化

B．登陆url

C．密码找回spa

D．用户信息存储操作系统

2.其余具体业务

A．购买/支付日志

B．优惠活动htm

C．抢购活动blog

D．…

来看看分别有哪些威胁：

1．对于帐号体系：

A．恶意用户批量注册帐号

B．撞库（帐号安全）

C．批量重置用户帐号，威胁其余用户帐号

2．其余具体业务

A．恶意订单（下单未支付）

B．低价购买

C．批量刷优惠券&其余奖励

D．抢购

E．窃取其余用户优惠券

F．购买限制（购买数量限制/未开放购买商品限制/特殊用户商品限制）

G．价格爬虫

H．做弊

I．黄牛限制

J．垃圾信息（用户欺诈）

K．交易风控（交易限额/交易信息/用户支付信息）

L．信息泄露（未开放业务上线）

M．黑色产业

N．虚假交易（刷信用/套现）

O．…

从上面的一些威胁能够看出，帐号体系安全是其余业务的基础，与许多业务直接相关。

0x02 部分威胁解决方案

能够从两个方面寻找不一样的解决方案：

1．从技术上看

A．帐号体系

a．注册限制：

经过图片验证码、短信验证码、邮件验证码等增长批量注册的成本

收集注册用户数据，分析注册后用户的行为。经过对比正经常使用户与马甲用户的行为、指纹等，标识马甲用户。或冻结没有行为的帐户

b．登陆：

将分散的登陆入口统一，防止因为遗漏而形成撞库

增长图片验证码等人机识别方式，防止登陆撞库

限制帐号登陆频率以及次数

经过数据分析用户登陆趋势图，区分不用时间用户尝试登录曲线、用户登陆失败曲线、用户登陆成功曲线，能够在发生撞库行为时作到及时响应

提示高危帐号进行密码修改（登陆后推送）

创建用户价值体系，经过用户记录、信用、行为等不一样维度数据创建用户价值体系

c．密码找回

优化密码找回逻辑，防止逻辑错误

对返回用户信息进行脱敏处理

经过数据分析用户重置密码趋势图，能够在发生批量用户密码重置时作到及时响应

d．用户信息存储

例子： WooYun: 高德某站严重用户信息泄漏（包含明文密码）

对用户信息进行加盐哈希等处理

B．其余具体业务

a．恶意订单

经过用户成功下单、支付等创建维度，冻结不符合规范的帐号，或在某段时间内限制其下单

b．低价购买&购买限制

验证购买/支付流程，后台增长校验机制

c．批量刷优惠券&其余奖励&其余用户优惠券

例子： WooYun: 饿了么逻辑漏洞之免费吃喝不是梦

绑定优惠券与帐号，限制单个号码/帐号获取的优惠券数量

对于批量注册马甲帐号的行为能够经过帐号体系进行限制

调整奖励规则（现金变成券），增长使用成本（绑定身份证、银行卡）

d．抢购&黄牛

纵深防护，从帐号体系开始

购买过程当中，增长人机识别，加大恶意抢购成本

增长黄牛检测机制，经过收货地址、帐号、订单数量、手机号码、收货人等不一样维度检测黄牛帐号

过滤从其余维度获取的黄牛帐号

白名单用户直接经过黄牛验证

将付款后异常退款加入加入黑名单，标识帐号、收货地址为黄牛帐号

e．价格爬虫&信息泄露

规范业务上线流程，防止未开放业务上线

增长反爬虫机制，对访问来源进行限制

f．垃圾信息（用户欺诈）

例子： http://tech.qq.com/a/20150820/051352.htm

处理这类风险较复杂，能够从用户行为特征、用户帐号信任评级加以区分

同时开启用户举报功能

g．交易风控

例子：

WooYun: 携程安全支付日志可遍历下载致使大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)

WooYun: 腾邦国际某重要系统SQL注入24个库DBA权限(涉及百万酒店订单信息+八万信用卡信息+信用卡明文CVV码)

合规性检查，符合《银联卡收单机构帐户信息安全管理标准》

h．黑色产业

分析具体业务，找出攻击者获利点

创建黑名单共享联盟，将恶意的IP、用户ID、邮箱地址、手机号码等列入黑名单

在上面的部分中，能够对用户行为进行分析、建模，例如：

A．正经常使用户的流程/记录为：注册—>登陆—>查询—>下单—>支付—>查看订单—>收货

B．异经常使用户的流程/记录为：注册—>登陆—>领取优惠券

还能够对日志进行实时分析：

A．url深度(单斜杆出现次数)

B．访问离散度(页面数/访问次数)

C．200响应比例

D．用户访问入口

2．从流程上看

A．项目立项风控、安全测试介入

业务评审、评估业务风险点

业务上线前通过安全测试，包括传统安全、业务接口、业务逻辑、黑白盒测试

B．业务数据实时监控

C．异常事件介入分析

经过数据实时分析，肯定当前数据是否符合预期

D．业务规则动态调整

当出现非预期的情况时，适当调整、优化规则

E．止损控制

当业务从需求上没法控制时，就要下降损失比例，减小业务损失

F．业务隔离

隔离重要业务与风险业务，使其单独运行

0x03 业务安全挖掘思路

要挖掘业务漏洞，须要先了解业务逻辑（业务类型/流程），评估风险点。在业务流程中列出正常访问与异常访问区别，分析攻击者的目的及获利方式，对症下药，同时还要排除传统安全威胁。

附（引用）：

企业安全建设与帐号体系.pdf

安全平台建设与业务安全.pdf

http://www.wooyun.org