資訊專欄INFORMATION COLUMN
摘要:驗證碼安全參考信息重放登錄注冊找密等入口,可能通過短信驗證碼郵箱驗證碼之類的進行確認操作,如果末對操作進行次數及頻率上的限制,則會產生大量的重放攻擊。高并發缺陷交易類重放攻擊,高并發的情況下末對用戶操作行為加鎖,導致購買限制的繞過。
業務安全從流程設計維度可劃分為賬戶體系安全、交易體系安全、支付體系安全、用戶信息存儲安全。后者對普通用戶而言基本屬于透明狀態,對于電商/互聯網金融/社交媒體更多面臨的業務安全風險集中在賬戶/交易/支付三個維度內。
?
賬戶體系安全在具體的業務細分中,最直接的業務體現則為注冊、登錄、找密三個主要入口。針對黑產或灰產抑或“羊毛黨”的技術面分析主要有以下攻擊、薅羊毛行為。
1.1 垃圾注冊垃圾注冊主要指通過程序或者純人力大量注冊的非活越賬號,這些賬號不能直接給平臺帶來收益確在一定程度上提升運營成本。賬號本身可能給注冊行為人帶去部份收益。P2P金融行業在注冊投資回報現金時,經常會出現這類垃圾注冊;電商行業主要用于虛假刷單;社交媒體則面臨面臨垃圾注冊用于發送垃圾消息。
1.2 撞庫攻擊撞庫風險在登錄、注冊、找密等普遍存在,目前“黑產”主要通過大量泄漏的用戶數據,在這些潛在風險的地方,進行賬號檢存操作,然后通過存在的賬號測試對應密碼檢存;或者尋找無任何防御的登錄口進行撞庫。
1.3 盜號洗號這類風險就不做多過多描述,攻擊手法略多。
1.4 驗證碼安全驗證碼在設計之初即為區分人與機器,在各類應用中廣泛使用用于防護自動化攻擊。但目前基于圖形驗證碼安全的防護手段已基本不再屬于黑產的障礙,眾多的OCR產品以及更為通用的人工碼平臺,降成本高效率作業。對于有些網站僅采用手機驗證碼認證作為區分正常用戶與“異常”用戶,國內也已有非常成熟的“貓池”設備,提供在線手機打碼測試。對于團購類、快車等平臺,手機小號注冊可直接獲取巨大利益回報。舉例:某團購平臺,對于普通用戶購買某火鍋優惠券需要79元,新用戶優惠價格只需要49元。該平臺對于業務風控做了設備指紋操作,但依然可以通過模擬器用“手機碼”平臺進行下單操作。除掉小號成本5塊,回報還是挺誘惑的。驗證碼安全參考
1.5 信息重放登錄/注冊/找密等入口,可能通過短信驗證碼、郵箱驗證碼之類的進行確認操作,如果末對操作進行次數及頻率上的限制,則會產生大量的重放攻擊。另外,對于驗證邏輯缺陷類的,例如session末及時刪除,可能導致驗證碼被重放,繞過一些人機基礎防護等。
1.6 找密/改密安全找密/改密設計在驗證邏輯上極易產生各種問題,找密密鑰的可預測性,找密邏輯缺陷可直接修改收信郵箱,賬號檢存。改密通過id進行可能修改他人的密碼,批量重置等等。從業務層考慮還有找回他人的密碼導致財產損失。具體舉例:有些產品從用戶角度思考,提供更人性化的找密服務,會根據不同場景出現不同的找密方式,在末嚴格驗證身份的情況下或設備指紋不可靠等,極有可能導致客戶賬號被攻擊。
1.7 信息泄漏業務層的信息泄漏,主要指服務自身的一些運營敏感數據泄漏。比如客戶交易的cvv碼,用戶賬號、密碼、郵箱等。在賬號體系中,該類泄漏非常常見,例如用某第三方開發的P2P程序,在登錄時用戶賬號存在的情況下,直接ajax返回該用戶的密碼密文、手機號、郵箱等等信息。攻擊者可能通過這些接口大量獲取敏感信息。
2 交易體系安全交易體系安全主要在電商、金融類發生實際交易的場景下出現,“羊毛黨”或者問題商家在交易體系中,存在大量虛擬交易,信息作弊及各類針對活動場景的攻擊。
2.1 刷庫存刷庫存在電商類網站普遍存在,屬于一種業務勒索型攻擊。攻擊者通過大量購買庫存產品,但不發生實際支付行為,讓正常用戶無法正常購買。通過相對較成本低的價格帶動數據增長的新商戶而言,遭遇該類勒索型攻擊較為常見。
2.2 刷單業務數據造假,這種已形成比較成熟的產業鏈,目前玩法較多。對于驗證真實快遞單號的電商站,隨便都能相互買到這類單號。
2.3 活動作弊電商類網站在“雙十一”之類的各種特殊節日,會推出大量的游戲送抵用券,送紅包、送流量、送優惠券等等活動。如某送流量活動,輸入手機號,鼠標點擊鼓達某個閾值送多少流量,攻擊者可直接修改js或者寫js自動模擬點擊刷活動。再比如,商家為了沖銷量,經常舉辦前幾百名免單活動,攻擊者通過自動化腳本秒殺商品,大量薅這羊毛。這直接導致商家銷售產品存在大量惡意退貨、退款,對于正常用戶而言,認為自己被耍猴;對于商家投資成本帶來的回報與預期有較大出入。
2.4 刷排名商家通過某些手段,規避虛擬物品限制轉換實際產品銷售。以處于邊界的低價游戲產品,通過叫“白號秒單”(無太多記錄的真實賬號)的手段,大量刷銷量,再更換類目產品,保持各類目都在銷量靠前排名靠前,搜索推薦都是這類店鋪,給消費者帶來較大的損失。
2.5 權限繞過嚴格意義來講業務安全與傳統web安全重疊的部份較多。權限繞過這里主要指的是,常見的一類邏輯漏洞。一類是末對用戶開放或已下線的的商品,通過id可直接遍歷到該商品,然后正常購買;另一類主要指,設計上的缺陷,比如有些卡商,在發的充值券存在一定程序的可推測,或者消費賬號可被推測。舉例,某游戲激活碼簡單的組合發售,用戶可通過暴力手段,直接用末購買的激活碼激活游戲。
2.6 低價購買某些網站通過id等手段進行價格判斷,但存在一定邏輯缺陷。導致可利用低價商品的ID號購買高價值的商品。
2.7 惡意貸款該種主要存在于P2P類的金融行業,在末知用戶信用或真實貸款身份下存的的一類貸款行為,導致壞賬率增加。
3 支付體系安全支付體系在整個交易過程中,視為業務安全里最重要的環節,也是各類風控體系發揮巨大功效的地方。
3.1 數據篡改在支付過程中,驗簽不嚴的情況下,極有可能產生數據篡改偽造。金額任意更改,溢出,負金額等等各種場景。
3.2 高并發缺陷交易類重放攻擊,高并發的情況下末對用戶操作行為加鎖,導致購買限制的繞過。比如,限制用戶每月兌換3次流量,在瞬間重放大量請求的情況下,可能同時成功兌換遠大于3次。或者余額只夠購買一件產品的情況下,高并發發生交易成功,直接變負數的可能。
3.3 套現套現行為包括:信用卡套現、抵用券套現、類似“京東”白條類信用產品套現。利用平臺信用卡套現較為常見,尤其P2P金融和電商普遍存在,通過信用卡支付->提現等。再如抵用券套現,活動支付時購買兩件商品,其中一件商品價格用抵用券足夠,另外一件走卡支付,這樣就可直接無風險套現抵用券。
3.4 支付行為可信支付確認階段,商家無法確定支付是否發生于賬戶真實主人。比如可能來自被盜賬戶的支付動作,直接導致正常用戶資產損失。比如通過信用卡購買商品的后付費用戶,攻擊者利用盜取的信用卡綁定發生實際購買行為,平臺在接受綁定后產生交易。但卡的真實主人申報該購買無效,不愿支付費用。交易已經發生,對于平臺來講就直接造成次產損失,該類攻擊并不鮮見。
?
垃圾評論在社交類應用中大量存在,發廣告、發敏感信息、灌水等。
4.2 垃圾消息垃圾消息與垃圾評論基本上屬于一類行為,在社交網站、電商網站,通過api接口漏洞,推送廣告、釣魚鏈接等等。業務層主要體現工單污染。
4.3 信息作弊信息作弊主要指各類投票數據、集贊、瀏覽量、粉絲等通過csrf漏洞或者機器自動刷等,造成各類虛擬數據。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11199.html
摘要:然而業務安全場景,識別用戶身份評估用戶信譽是業務風控的重要依據。數據風控服務的價值回歸到文章開始的問題,業務安全防控如何成為業務促進者,數據風控服務能否達成這個目標答案是肯定的。 你們安全不要阻礙業務發展、這個安全策略降低用戶體驗,影響轉化率——這是甲方企業安全部門經常聽到合作團隊抱怨。但安全從業者加入公司的初衷絕對不是阻礙業務發展,那么安全解決方案能否成為業務促進者,而非業務阻礙者呢...
摘要:云計算技術完全依賴于硬件和軟件的虛擬化及其面向服務的架構和其他一些增值服務。其次,一些政府贊成取消有利于網絡中立和促進競爭的法規。因此,云計算成為可行的選擇。盡管如此,云基礎架構必須與適當的安全和備份解決方案相輔相成,以確保數據安全。 隨著互聯網的高速發展,計算和軟件開發的進步,任何人都可以坐在他/她的廚房桌旁享受世界上最好的技術。幾乎所有小型或大型企業都無所謂,似乎已將注意力轉移到考...
摘要:云計算技術完全依賴于硬件和軟件的虛擬化及其面向服務的架構和其他一些增值服務。其次,一些政府贊成取消有利于網絡中立和促進競爭的法規。因此,云計算成為可行的選擇。盡管如此,云基礎架構必須與適當的安全和備份解決方案相輔相成,以確保數據安全。 隨著互聯網的高速發展,計算和軟件開發的進步,任何人都可以坐在他/她的廚房桌旁享受世界上最好的技術。幾乎所有小型或大型企業都無所謂,似乎已將注意力轉移到考...
摘要:在美國聯邦政府大力推進云計算的同時,美國政府大力研究和制定云計算安全策略。年月美國啟動了政府范圍的云計算解決方案的安全認證認可過程的開發。 引言 由于云計算在經濟、敏捷和創新方面的突出特點,受到美國政府高度重視。早在2009 年1 月, 美國行政管理和預算局(OMB)就開始關注云計算和虛擬化。3 月維維克·昆德拉被任命為聯邦政府首席信息官委員會(CIOC)的首席信息官后即表示將推...
摘要:在不便中,一直蘊藏著技術革新的機會這時,機器學習來了機器學習是解決安全問題的金鑰匙機器學習其實早已到來。正因為安全問題本質是特定領域內的識別問題,所以從理論上講,機器學習非常適合應用在安全領域,是解決安全問題的金鑰匙。 作者簡介: showImg(https://segmentfault.com/img/bVXnOA?w=279&h=306); 叢磊 白山合伙人兼工程副總裁。叢磊先生2...
閱讀 1492·2023-04-25 15:40
閱讀 2861·2021-08-11 11:15
閱讀 2280·2019-08-26 13:48
閱讀 2851·2019-08-26 12:18
閱讀 2456·2019-08-23 18:23
閱讀 2910·2019-08-23 17:01
閱讀 2985·2019-08-23 16:29
閱讀 1106·2019-08-23 15:15
