支付渠道被攻击了有什么好的办法吗?
随着移动支付广泛应用,很多人将支付宝或微信支付当做自己的第二个钱包。但是那么多资金放在移动支付平台上,安全吗?
最近在一档名为《智造将来》中,就特地让黑客攻击支付宝账户,通过WIFI和NFC读卡器窃取了他的手机号和银行卡号,并试图黑进这个账户,结果黑客攻击失败。
知乎一位名为“史中”的网友就提出了这样的解读。面对各种复杂的被攻击情况,支付宝会使用名为“AlphaRisk”的风控系统,可以根据你的设备、环境、使用习惯、账户关系等来判定你的交易安不安全。一旦发现出现资金风险,支付宝会要求使用者进行刷脸人脸活体认证。手机验证码等来确保是你本人在操作。
具体是怎么判读呢?他举了一个例子,如果一个账户平时都是用于小额的日常支付指出,突然转账几万块就属于异常情况之一,另外如果对方的收款账号是新注册的,平时没什么消费交易,也会引起人工智能安全系统的风险怀疑。
分析并了解支付过程
我们Sinesafe对整个第三方支付平台网站的流程进行了分析如下,平台首先要对接到上游支付通道,然后由上游支付通道返回支付状态回调到平台,然后由平台的状态返回给商户(也就是码商),首先码商注册好平台的商家用户,然后从商家用户后台获取接口对接程序与码商自己的网站进行对接调试,如果商家会员对订单进行了支付,如果支付成功会回从平台获取支付状态,而平台去从上游通道获取状态来回调到自身平台,目前大部分的接口都是一些PDD通道以及个人二维码对接的企业通道,俗称为聚合支付。
支付漏洞安全原因症状
1.发现在码商下的会员订单并未成功支付导致在平台这里的支付状态被黑客修改为已支付,从而回调数据给商户说明已经支付了,导致订单是成功的状态,商家不得不发货给会员(也就是上分给会员)从而恶意提现导致商家损失严重。
2.发现商户申请提现这里的收款人信息被篡改,导致商户的资金被冒领。很多码商对这一点是非常重视的,几乎都是日结算。而且平台每天放量都是有数量的,几乎都是集团下的在收量,对于资金这一块非常敏感而重视。
3.发现有些订单被删除,导致对账对不起来总是商户结算和上游通道结算的金额不对应,导致盈利少,其实这是因为黑客把订单删除了而商户的成功金额是增加的,但上游通道里的金额是不增加的。
网站漏洞安全日志检查分析
了解上述的问题后,知道了具体的问题发生症状以及支付的整个流程,安排Sine安全工程师团队小组快速响应处理找出漏洞问题关键,把客户的损失降到最低,随即登录了支付平台网站服务器对程序代码做了审计和分析,发现程序用的是TP架构(thinkphp)管理后台和前端都是在一起的,对程序代码功能函数做了对比看支付过程中的函数有无被夸权限调用,发现后台登录这里被做了手脚可以通过内置的函数去任意登录不需要任何密码,如图:
通过get此函数admin_login_test123可以直接任意登录后台。发现这只是其中一点,后台登录后可以设置订单的状态,但黑客的手法不是这样操作的,因为从后台手动改状态的话那么在支付成功的状态这里的数据库表会增加一个data时间戳,而黑客篡改支付的状态是没有这个时间戳的,说明不是通过后台去修改的,是通过直接执行sql语句或直接修改数据库才达到的,知道问题原因后分析了下程序其他文件看是否有脚本后门,果真发现了phpwebshell后门,其中有好几个后门都是可以直接操作mysql数据库如下:
发现程序里有不少的后门文件以及隐蔽一句话后门木马,通过我们SINE工程师的渗透测试服务发现商户功能图片上传存在漏洞可以任意上传php格式的后门文件,导致被入侵,发现在订单查询功能中存在SQL注入漏洞可以进行updata更新语句去执行数据库修改。随后我们立即对这3个网站漏洞进行了修复,清理了木马后门和隐蔽后门。让平台开始运营3天观察看看还有无被篡改,至此没再发生过订单状态被篡改攻击的安全问题。
第三方支付平台网站安全防护建议
对新平台的上线前必须要渗透测试漏洞,对sql注入进行语句严格定义和转换,对上传这里的格式进行白名单控制,对网站支付回调和通过获取状态严格做对比,如对sgin做来回匹配比对,签名效验看是否存在被篡改值如果被篡改直接返回数据报错,如果对程序代码安全问题不熟悉不专业的话建议找专业的网站安全公司来处理解决,国内做的比较不错的如小蚁网络www.bgpddos.com是比较大的网站安全服务商。
支付渠道被攻击了有什么好的办法吗?相关推荐
- 支付渠道参数如何设计成路由化配置
转载自 支付渠道参数如何设计成路由化配置 今天我们来探讨在搭建支付系统时一个比较关键的问题:渠道参数路由化配置如何设计? 在开发支付系统的时候,我们经常会涉及到对接多个支付渠道,除常见的支付宝.微信 ...
- 支付渠道路由系统进化史
支付系统一般需要对接多个支付渠道,一是为了保证系统的可靠性,不能因为单一渠道的问题影响整个支付系统.二是为了提高支付能力,不同渠道提供支付能力不同.三是为了降低支付成本. 对接多个支付渠道以后,为了可 ...
- SpringBoot工程接入第三方支付渠道支付宝(C扫B支付)
目录 1.C扫B的概念 2.支付宝接口调研 2.1.产品列表 2.2.线下场所接入支付 3.配置支付宝沙箱环境 3.1.简介 3.2.注册开放平台账号 3.3.配置密钥 3.4.沙箱账号 4.生成二维 ...
- Ping++ 牵手招商银行,正式为商户开放一网通支付渠道
2016 年 7 月 14 日,招商银行与聚合支付 SaaS 服务商 Ping++ 正式达成战略合作,凡通过 Ping++ 申请接入招行全新 "一网通支付" 产品的商户,都可以为用 ...
- 基于ZFAKA二次开发,添加PayJS支付渠道
基于ZFAKA二次开发,添加PayJS支付渠道 项目地址:https://github.com/hiyouli/payjs-for-zfaka 关于ZFAKA,请移步:ZFAKA 免费.安全.稳定.高 ...
- 支付渠道接入设计及实现
聚合支付:也称"融合支付",是指只从事"支付.结算.清算"服务之外的"支付服务",依托银行.非银机构或清算组织,借助银行.非银机构或清算组织 ...
- 大众点评支付渠道网关系统的实践之路
业务的快速增长,要求系统在快速迭代的同时,保持很好的扩展性和可用性.其中,交易系统除了满足上述要求之外,还必须保持数据的强一致性.对系统开发人员而言,这既是机遇,也是挑战.本文主要梳理大众点评支付渠道 ...
- Java对接第三方支付渠道之支付宝支付
提示:支付宝相对于微信支付更人性化,且细节做得更好. Java对接第三方支付渠道之支付宝支付 一.前期准备工作 二.导入依赖 三.书写配置类 四.书写配置文件 五.调用相关支付接口 1.流程图 2.创 ...
- Congestion Attacks in Payment Channel Networks(支付渠道网络中的拥塞攻击)阅读笔记
Congestion Attacks in Payment Channel Networks(支付渠道网络中的拥塞攻击)阅读笔记 一.Keywords Lightning Network: 闪电网络 ...
最新文章
- LINUX系统管理员技术(Admin)-------第三天
- WCF分布式开发步步为赢(15):错误契约(FaultContract)与异常处理(ExceptionHandle)
- 解决Docker上安装RabbitMQ后Web管理页面打不开的问题
- 3分钟弄明白JAVA三大修饰符
- wii拆机_设置防砖保护以保护和增强Wii
- Logistic Regression:最基础的神经网络
- 计算机管理的服务列表,Windows
- ★深入探讨高维宇宙【二】
- 计算机审计操作实验目的,计算机审计实验报告 满分原创!!.docx
- gallery代码怎么运行_自学Python进阶-把代码变成程序、软件
- 使用微软VS2015编写python代码
- arm linux 内存压力测试,嵌入式中如何给内存做压力测试?
- EDA技术实用教程 | 复习六 | 过程语句always
- ubuntu上传本地文件到服务器_ubuntu怎么本地上传文件到服务器ssh
- word文档页眉清除和页码设置
- 树莓派建立无线热点AP (方便直接连接遥控机器人/摄像头)
- MinIO: Console endpoint is listening on a dynamic port , please use --console-address
- 315成央视盛宴是中国媒体的悲哀
- 组合数学4-全排列生成算法
- 云计算、大数据、人工智能的关系