互联网业务安全之通用安全风险模型

时间 2020-01-27

原文原文链接

业务安全从流程设计维度可划分为帐户体系安全、交易体系安全、支付体系安全、用户信息存储安全。后者对普通用户而言基本属于透明状态，对于电商/互联网金融/社交媒体更多面临的业务安全风险集中在帐户/交易/支付三个维度内。
html

1 帐户体系安全

帐户体系安全在具体的业务细分中，最直接的业务体现则为注册、登陆、找密三个主要入口。针对黑产或灰产抑或“羊毛党”的技术面分析主要有如下攻击、薅羊毛行为。web

1.1 垃圾注册

垃圾注册主要指经过程序或者纯人力大量注册的非活越帐号，这些帐号不能直接给平台带来收益确在必定程度上提高运营成本。帐号自己可能给注册行为人带去部份收益。P2P金融行业在注册投资回报现金时，常常会出现这类垃圾注册；电商行业主要用于虚假刷单；社交媒体则面临面临垃圾注册用于发送垃圾消息。ajax

1.2 撞库攻击

撞库风险在登陆、注册、找密等广泛存在，目前“黑产”主要经过大量泄漏的用户数据，在这些潜在风险的地方，进行帐号检存操做，而后经过存在的帐号测试对应密码检存；或者寻找无任何防护的登陆口进行撞库。api

1.3 盗号洗号

这类风险就不作多过多描述，攻击手法略多。安全

1.4 验证码安全

验证码在设计之初即为区分人与机器，在各种应用中普遍使用用于防御自动化攻击。但目前基于图形验证码安全的防御手段已基本再也不属于黑产的障碍，众多的OCR产品以及更为通用的人工码平台，降成本高效率做业。对于有些网站仅采用手机验证码认证做为区分正经常使用户与“异常”用户，国内也已有很是成熟的“猫池”设备，提供在线手机打码测试。对于团购类、快车等平台，手机小号注册可直接获取巨大利益回报。举例：某团购平台，对于普通用户购买某火锅优惠券须要79元，新用户优惠价格只须要49元。该平台对于业务风控作了设备指纹操做，但依然能够经过模拟器用“手机码”平台进行下单操做。除掉小号成本5块，回报仍是挺诱惑的。验证码安全参考session

1.5 信息重放

登陆/注册/找密等入口，可能经过短信验证码、邮箱验证码之类的进行确认操做，若是末对操做进行次数及频率上的限制，则会产生大量的重放攻击。另外，对于验证逻辑缺陷类的，例如session末及时删除，可能致使验证码被重放，绕过一些人机基础防御等。并发

1.6 找密/改密安全

找密/改密设计在验证逻辑上极易产生各类问题，找密密钥的可预测性，找密逻辑缺陷可直接修改收信邮箱，帐号检存。改密经过id进行可能修改他人的密码，批量重置等等。从业务层考虑还有找回他人的密码致使财产损失。具体举例：有些产品从用户角度思考，提供更人性化的找密服务，会根据不一样场景出现不一样的找密方式，在末严格验证身份的状况下或设备指纹不可靠等，极有可能致使客户帐号被攻击。高并发

1.7 信息泄漏

业务层的信息泄漏，主要指服务自身的一些运营敏感数据泄漏。好比客户交易的cvv码，用户帐号、密码、邮箱等。在帐号体系中，该类泄漏很是常见，例如用某第三方开发的P2P程序，在登陆时用户帐号存在的状况下，直接ajax返回该用户的密码密文、手机号、邮箱等等信息。攻击者可能经过这些接口大量获取敏感信息。web安全

2 交易体系安全

交易体系安全主要在电商、金融类发生实际交易的场景下出现，“羊毛党”或者问题商家在交易体系中，存在大量虚拟交易，信息做弊及各种针对活动场景的攻击。测试

2.1 刷库存

刷库存在电商类网站广泛存在，属于一种业务勒索型攻击。攻击者经过大量购买库存产品，但不发生实际支付行为，让正经常使用户没法正常购买。经过相对较成本低的价格带动数据增加的新商户而言，遭遇该类勒索型攻击较为常见。

2.2 刷单

业务数据造假，这种已造成比较成熟的产业链，目前玩法较多。对于验证真实快递单号的电商站，随便都能相互买到这类单号。

2.3 活动做弊

电商类网站在“双十一”之类的各类特殊节日，会推出大量的游戏送抵用券，送红包、送流量、送优惠券等等活动。如某送流量活动，输入手机号，鼠标点击鼓达某个阈值送多少流量，攻击者可直接修改js或者写js自动模拟点击刷活动。再好比，商家为了冲销量，常常举办前几百名免单活动，攻击者经过自动化脚本秒杀商品，大量薅这羊毛。这直接致使商家销售产品存在大量恶意退货、退款，对于正经常使用户而言，认为本身被耍猴；对于商家投资成本带来的回报与预期有较大出入。

2.4 刷排名

商家经过某些手段，规避虚拟物品限制转换实际产品销售。以处于边界的低价游戏产品，经过叫“白号秒单”(无太多记录的真实帐号)的手段，大量刷销量，再更换类目产品，保持各种目都在销量靠前排名靠前，搜索推荐都是这类店铺，给消费者带来较大的损失。

2.5 权限绕过

严格意义来说业务安全与传统web安全重叠的部份较多。权限绕过这里主要指的是，常见的一类逻辑漏洞。一类是末对用户开放或已下线的的商品，经过id可直接遍历到该商品，而后正常购买；另外一类主要指，设计上的缺陷，好比有些卡商，在发的充值券存在必定程序的可推测，或者消费帐号可被推测。举例，某游戏激活码简单的组合发售，用户可经过暴力手段，直接用末购买的激活码激活游戏。

2.6 低价购买

某些网站经过id等手段进行价格判断，但存在必定逻辑缺陷。致使可利用低价商品的ID号购买高价值的商品。

2.7 恶意贷款

该种主要存在于P2P类的金融行业，在末知用户信用或真实贷款身份下存的的一类贷款行为，致使坏帐率增长。

3 支付体系安全

支付体系在整个交易过程当中，视为业务安全里最重要的环节，也是各种风控体系发挥巨大功效的地方。

3.1 数据篡改

在支付过程当中，验签不严的状况下，极有可能产生数据篡改伪造。金额任意更改，溢出，负金额等等各类场景。

3.2 高并发缺陷

交易类重放攻击，高并发的状况下末对用户操做行为加锁，致使购买限制的绕过。好比，限制用户每个月兑换3次流量，在瞬间重放大量请求的状况下，可能同时成功兑换远大于3次。或者余额只够购买一件产品的状况下，高并发发生交易成功，直接变负数的可能。

3.3 套现

套现行为包括：信用卡套现、抵用券套现、相似“京东”白条类信用产品套现。利用平台信用卡套现较为常见，尤为P2P金融和电商广泛存在，经过信用卡支付->提现等。再如抵用券套现，活动支付时购买两件商品，其中一件商品价格用抵用券足够，另一件走卡支付，这样就可直接无风险套现抵用券。

3.4 支付行为可信

支付确认阶段，商家没法肯定支付是否发生于帐户真实主人。好比可能来自被盗帐户的支付动做，直接致使正经常使用户资产损失。好比经过信用卡购买商品的后付费用户，攻击者利用盗取的信用卡绑定发生实际购买行为，平台在接受绑定后产生交易。但卡的真实主人申报该购买无效，不肯支付费用。交易已经发生，对于平台来说就直接形成次产损失，该类攻击并不鲜见。

4 其它业务安全

4.1 垃圾评论

垃圾评论在社交类应用中大量存在，发广告、发敏感信息、灌水等。

4.2 垃圾消息

垃圾消息与垃圾评论基本上属于一类行为，在社交网站、电商网站，经过api接口漏洞，推送广告、钓鱼连接等等。业务层主要体现工单污染。

4.3 信息做弊

信息做弊主要指各种投票数据、集赞、浏览量、粉丝等经过csrf漏洞或者机器自动刷等，形成各种虚拟数据。