精华内容
下载资源
问答
  • 从这一讲开始,我们讨论业务安全。近几年,随着互联网的快速发展,很多公司为了获取用户增长,在业务中投入了大量的资本。向来都是向钱看齐的黑客(在业务安全中,我们称之为黑产),自然就将攻击的重心放到了业务中...

    在这里插入图片描述

    从这一讲开始,我们讨论业务安全。近几年,随着互联网的快速发展,很多公司为了获取用户增长,在业务中投入了大量的资本。向来都是向钱看齐的黑客(在业务安全中,我们称之为黑产),自然就将攻击的重心放到了业务中。业务安全也变得越来越热门,成为各大公司安全投入的重心之一。

    对比于传统的基础安全,业务安全有哪些特点呢?为什么它能够成为一个独立的领域呢?在业务安全中,我们需要重点关注的防护方法又有哪些呢?

    以上这些问题,在这个模块中我会详细来讲。今天,我们先从业务安全的特点和防护重点入手,让你对业务安全的体系和框架有一个清晰的认识。

    如何理解业务安全?

    学习一个新知识的最好方法,一定是从我们学过的知识入手。所以,今天我会对比基础安全,来帮助你理解业务安全。基础安全其实就是我们前几个模块关注的安全攻防视角下的安全概念和知识,也叫网络安全。

    想要理解业务安全,我们先来认识一下黑产。黑产是基于正常的业务产品逻辑,采取非正常或者批量的操作,来获取利益的行为。业务安全就是通过各类产品策略,来对黑产进行识别和拦截,从而保障业务的正常运行。

    你一定见过,或者参加过“红包雨”领红包的活动。在活动中,用户可以通过“红包雨”游戏领取一定金额的红包,金额大小由前端决定。通过这个例子,我们来对比一下黑客和黑产的攻击。

    在基础安全的攻击视角中,黑客会逆向前端代码,找到最终决定金额的逻辑,然后自己伪造一个大额的红包请求。这样一来,黑客就可以不用玩游戏,同时还能获得一个大额的红包。在业务安全的攻击视角中,黑产会开发一个自动玩游戏领红包的工具,操纵大量的账号来参与活动。最终,将各个账号的小额红包汇总到一个账号下,从而实现获利。

    黑产和黑客有哪些差异?

    从前面的例子中,我能够看出,黑客在基础安全和业务安全中的攻击方式有很大不同,那它们之间具体有哪些差异呢?接下来,我们一起来分析。

    在基础安全中,黑客会通过各种 Web 安全或者系统安全的漏洞,对公司的系统和应用发起攻击,最终侵入公司系统,窃取敏感信息等成果。“黑客”原意是指擅长各类计算机技术的人,也就是在基础安全领域中,掌握各种高端技巧,能够发现并利用漏洞的攻击者。但是,在业务安全中,业内普遍将攻击者称为“黑产”。之所以会改换一个名称,我认为主要有两点原因。

    第一,“黑产”强调的是“产业化”。

    尽管黑客也存在很多组织,但黑客组织更多的是将一群黑客进行统一管理,实际发起攻击的仍然是单人或者小组。

    相比于黑客,在业务攻击中,黑产已经形成了完整的产业化链条:在上游,有人专门提供各类技术支持,如验证码绕过、手机群控、自动注册工具等;在中游,有人专门收集大量的手机号、身份证号、银行卡号等信息,在应用内注册大量的垃圾账号;在下游,有人利用工具和账号,进行薅羊毛、刷评论、欺诈等操作。可以说,任何个人或者小的团体都没有办法发起业务攻击,必须依靠上游提供的各类资源,才能够实现真正获利。产业链的结构如下图所示:
    在这里插入图片描述

    第二,黑客强调的是技术对抗,而“黑产”更看重资源对抗。

    对于黑客来说,只要技术足够强大,并且手里掌握着一些“0 day”漏洞,就能够以一己之力攻破公司的安全防御体系。但是对于黑产来说,其本质是资源对抗,所以不可能有类似黑客的“单兵作战”。那什么是资源对抗呢?

    我们来看一个例子。现在有一个“新用户注册得红包”的活动,公司可能会给每个新用户发放 1 元的现金红包,以此作为用户增长的激励措施。这个时候,如果黑产注册一个新用户的成本是 2 元(需要手机号、银行卡等各种资源支持),那显然是一个亏本的买卖。因此,黑产需要想尽办法去降低注册资源的成本。如果是你,你会怎么做呢?你可以先试着思考一下,然后再来看我下面的分析。

    生活中就有很多这样的例子。以前,你想要骑一辆自行车,需要花几百块钱买一辆。而现在,你花上一块钱,就能够骑上共享单车,还能够“随停随走”。黑产的资源对抗也是利用的这种“共享”思想:在黑产的中上游,由专门的团伙负责大批量收集各类资源,供很多下游团伙使用,这样就能在很大程度上降低黑产发起攻击的成本。

    现在,黑产购买一个手机号的成本只需要几毛钱,而互联网应用获取一个新用户需要花费几十元,这其中的利益之大可见一斑。

    从黑客与黑产之间的攻击差异中,我们能够发现基础安全和业务安全的核心差异。基础安全是防御黑客的技术攻击,避免漏洞。业务安全是防御黑产的资源对抗,避免正常业务被攻击。

    业务安全如何防护?

    在基础安全中,我们说过应用的本质是数据,安全的本质是数据的 CIA,我们可以通过黄金法则来保护数据。那么,对于业务安全来说,我们的防护思路又是怎么样的呢?

    我们还是要从业务的本质入手来解决问题。我认为,业务的本质是一种投资,也就是公司投入成本来获取用户价值。投入的成本包括应用开发的成本、服务的成本以及获取用户的成本等。

    用户的价值也多种多样,直接的如收取用户的服务费用,间接的如通过用户来获取广告收益、通过用户来吸引商家入驻收取租金等。那黑产是如何从中获利的呢?

    黑产的获利手段是通过廉价的资源,降低用户的价值,从而赚取公司投入的成本。因此,业务安全的本质就是保障用户价值不受黑产的恶意影响。保障的方法就是提高黑产的资源成本,使得黑产无法获利。这也就是我所说的,业务安全的本质其实就是资源层次上的对抗。

    那我们应该如何进行资源对抗呢?首先,我们要知道,黑产需要进行哪些资源投入。一般来说,黑产会从四个方面进行资源投入,分别是:用户资源、IP 资源、设备资源和操作资源。下面,我们一一来看。

    首先是用户资源。

    黑产通常需要获取大量的用户身份,来进行大规模的业务操作,才能实现获利。这是因为,应用通常会要求用户绑定各种信息,比如手机号、身份证、银行卡等。而黑产需要满足应用的强制绑定要求,才能获得用户身份。因此,这些手机号、身份证以及银行卡等,其实就是黑产必须投入的用户资源。

    现在,黑产有很多办法可以获取这些用户资源。我来总结了几个常见的方法:

    通过虚拟运营商或者物联网卡来获取大量非实名手机卡
    在网上搜集各类泄露的身份证图片
    在偏远地区支付十几块钱,买到他人的手持身份证照片和视频
    在类似注册任务贴吧这样的任务群中,注册一个账号之后,再转手卖给黑产
    对于用户资源的对抗,目前主要的方式就是黑名单。这里,我把黑名单的防护流程总结了一张图。
    在这里插入图片描述

    从上图中我们可以看到,用户黑名单主要有两种收集方式:内部收集和外部采购。其中,内部收集是基于用户在业务内部的行为进行判定的,流程相对复杂一些,而外部采购是直接购买汇总好的黑名单。这样一来,我们就利用黑名单实现了对黑产的拦截。

    接着,我们来说 IP 资源。

    黑产往往是在同一个地方进行大量操作的,IP 相对固定。所以,任何公司做业务安全的第一步,都是对 IP 进行限制,常见的手段是限制一个 IP 下能够登录的用户数量。为了绕过这种安全防控机制,黑产必须掌握大量的 IP 资源。

    如果你有做过爬虫,一定知道通过快代理这种网上的免费代理,来绕过反爬机制。而黑产更高级一些,黑产会利用“秒拨 IP”来获取大量 IP 资源。所谓“秒拨”,就是指每一次拨号上网,都会分配一个新的 IP 给我们。只要持续地断网、拨号,我们就能够获得大量的 IP 资源。

    下图是某个代理 IP 网站的报价,我们可以看到,目前代理 IP 的价格最低只要 0.5 分钱。也就是说,黑产只需要付出很少的成本就能获得大量 IP 资源。
    在这里插入图片描述

    事实上,我们目前很难对 IP 资源进行有效防控。IP 的变化十分频繁,一个 IP 上一分钟可能是黑产在操作,下一分钟可能就被正常用户所使用了。所以,即使我们能基于业务数据确定一个 IP 存在异常,也没有办法对它进行黑名单处理。

    除了 IP 之外,设备也是公司做业务安全的一个基础。

    在正常情况下,一个设备对应一个账号。但是,黑产可能会需要在一个设备上使用几十个账号进行操作,这就很容易被应用和公司检测到异常。因此,黑产必须想办法获取大量的设备。

    黑产获取设备的方法比较多,最简单的一种是通过模拟器来模拟设备。但是,很多公司会对前端进行检测,来发现模拟设备。因此,黑产也就从使用模拟设备升级为使用真实的手机。所以,很多黑产案件中都会出现由大量手机设备组成的“手机墙”。除此之外,也有上游团队将手机做成云控模式,下游黑产可以直接花钱购入可远程操控的真实手机设备。

    设备资源的对抗原理是对虚拟设备进行识别。这就需要依赖业务安全中比较关键的设备指纹技术了。所谓“设备指纹技术”,就是收集设备上的各类特征,对设备进行追踪,然后基于设备的行为和信息,判定是虚拟设备还是人为操作,以此对黑产进行拦截。

    最后是操作资源。

    黑产需要正常使用业务才能获利,所以在操作上会和正常用户一样花费时间和精力。这对黑产来说,也是一个不小的成本。

    比如说,在开头的例子中,用户参加“红包雨”游戏领取红包的过程,就是一个操作的过程:用户为了领取一个几毛钱的红包,在 APP 上花几分钟玩一个游戏。这显然对黑产是不合算的。因此,黑产会尝试使用一些自动化的工具,比如按键精灵,让机器来完成游戏的过程。这样一来,黑产就释放了人力的操作资源投入,大大降低了操作成本。

    所以说,我们和操作资源的对抗,就是在和黑产的自动化工具进行对抗。公司为了区分“人”和“机器”的操作,就需要使用验证码(如图片验证码、滑块验证码等)。通过这类“人”很容易完成,但“机器”很难完成的验证方式,黑产就没办法全自动地完成交互,我们也就提高了黑产的操作成本。

    总之,业务安全的防护核心就是提高黑产的资源成本。更详细的防护方案,我们会在后面的课程中详细来讲,这里你只需要对这几种资源有一个全面的认知即可。

    为了帮助你理解这 4 种资源的核心特点,我整理了一个表格供你参考,如下图所示:
    在这里插入图片描述

    总结

    好了,今天的内容讲完了。我们一起总结回顾一下,你需要掌握的重点内容。

    业务安全和基础安全在本质上就有很大的不同:在基础安全中,黑客将技术作为核心竞争力;在业务安全中,黑产将资源作为核心竞争力。谁能够以更低的成本掌握更多的资源,谁就能窃取公司更大的利益。因此,作为防守方,我们在关注业务安全的时候,也应当将关注的重点放在如何提高黑产的资源成本上,这样才能够为公司提供有力的业务安全防护。
    在这里插入图片描述

    思考题

    最后,还是给你留一道思考题。

    今天,我们讲了几个黑产必须要掌握的资源。你可以思考一下,假如你掌握了这些资源,你会如何对你的业务发起攻击?又会如何获利呢?

    欢迎留言和我分享你的思考和疑惑,也欢迎你把文章分享给你的朋友。我们下一讲再见!

    下一讲

    产品安全方案:如何降低业务对黑灰产的诱惑?

    展开全文
  • [网络安全学习篇64]:业务安全

    千次阅读 2020-05-11 00:24:11
    引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就...

    引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白,大部分知识点都是初次接触,出现对其理解不深入,不完整,甚至也会出现错误有问题的地方,希望大家谅解、留言提出指正,同时也欢迎大家来找我一起交流学习!!!

     

    往期博客:

    第一阶段:

    [网络安全学习篇1]:windowsxp、windows2003、windows7、windows2008系统部署(千峰网络安全视频笔记)

    [网络安全学习篇24]:漏洞与木马(千峰网络安全视频笔记 p117-p118)

    第二阶段:

    [网络安全学习篇25]:初识Linux及简单命令

    [网络安全学习篇32]:Linux脚本编写汇总及应用

    第三阶段:

    [网络安全学习篇33]:0基础带你入门python

    [网络安全学习篇38]:基础环境搭建

    [网络安全学习篇39]:HTML标签基础 常用的标签 表格

    [网络安全学习篇42]:靶场环境搭建(ubuntu系统安装优化及vulhub安装)

    [网络安全学习篇43]:PHP基础+变量 运算符 流程控制语句

    [网络安全学习篇48]:JS 基础 函数 事件

    第四阶段:

    [网络安全学习篇49]:渗透测试方法论

    [网络安全学习篇50]:Web架构安全分析

    [网络安全学习篇51]:信息收集

    [网络安全学习篇52]:扫描技术

    [网络安全学习篇53]:口令破解

    [网络安全学习篇54]:SQL注入

    [网络安全学习篇55]:SQL自动化注入

    [网络安全学习篇56]:XSS

    [网络安全学学习篇57]:XSS(二)

    [网络安全学习篇58]:PHP代码注入

    [网络安全学习篇59]:OS命令注入

    [网络安全学习篇60]:文件上传

    [网络安全学习篇61]:文件包含

    [网络安全学习篇62]:CSRF 攻击

    [网络安全学习篇63]:SSRF

    [网络安全学习篇64]:业务安全(本篇)

    下期博文:

    [千峰网络安全学习篇65]:提权

     

    目录

     

    业务安全

    *业务安全概述

    *黑客攻击的目标

    业务安全测试流程

    *测试准备

    *业务调研

    *业务建模

    *业务流程梳理

    *业务风险点识别

    *开展测试

    *撰写报告

    万能用户名|密码

     

    业务数据安全

    *商品支付金额篡改

    *前端JS 限制绕过验证

    *请求重放的测试

    *业务上限测试

    *商品订购数量篡改

    密码找回安全

    *验证码客户端回显测试

    *验证码暴力破解

    *Reponse 状态值修改测试

    *Session 覆盖

    *弱Token 设计缺陷测试

    *密码找回流程绕过测试

    *接口参数账号修改

    用户登录密码爆破


    业务安全

    *业务安全概述

    近年来,随着信息技术的迅速发展和全球一体化进程的不断加快,计算机和网络以及成为与所有人都息息相关的工具和媒介,个人的工作、生活和娱乐、企业的管理、乃至国家的发展和变革都无处其外。

    信息和互联网带来便利和高效的同时,大量的隐私、敏感和高价值的信息数据和资产成为恶意攻击者和威胁的主要目标,从早期的极客为核心的黑客黄金时代,到现在的利益链驱动的庞大黑色产业,网络安全已成为任何个人、企业、组织和国家所必须面临的重要问题。“网络安全和信息化是是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,没有网络安全就没有国家安全,没有信息化就没有现代化。”

    随着互联网+的发展,经济形态不断的发生变化。众多传统行业逐渐地融入互联网并利用信息通讯技术以及互联网平台进行着频繁的商务活动,这些平台(如银行、保险、证券、电商、p2p、020、游戏、社交、招聘、航空等)由于涉及大量的金钱、个人信息、交易等重要隐私数据,成为黑客攻击的首要目标,而因为开发人员安全意识薄弱(只注重实现功能而忽略了在用户使用过程中个人的行为对Web 应用程序的业务逻辑功能的安全性影响)、开发代码频繁迭代导致这些平台业务逻辑层面的安全风险层出不穷(业务逻辑漏洞主要是开发人员业务流程设计的缺陷,不仅局限于网络层、系统层、代码层等比如登录验证的绕过、交易中的数据篡改、接口的恶意调用等,都属于业务逻辑漏洞)。

    *黑客攻击的目标

    一方面随着社会和科技的发展,购物、社交、P2P、020、游戏、招聘等业务纷纷具备了在线支付的功能。如电商支付系统保存了用户手机号、姓名、家庭住址,包括支付的银行卡信息、支付密码信息等,这些都是黑客感兴趣放入敏感信息。攻击者可以利用程序员的设计缺陷进行交易数据篡改、敏感信息盗取、资产的窃取等操作。现在的黑客不在以炫耀技能为主要攻击目的,而主要以经济利益为目的,攻击的目的逐渐转变为趋利化。

    另一方面,如今的业务系统对于传递安全漏洞防护的技术和设备越来越成熟,基于传统漏洞漏洞入侵也变得越来越困难,增加了黑客攻击的成本。而业务逻辑漏洞可以逃逸各种安全防护,迄今为止没有很好的解决方法。这也是为什么黑客偏好使用业务逻辑漏洞攻击的一个原因。

    业务安全测试流程

    *测试准备

    准备阶段主要包括对业务系统的前期的熟悉工作。针对白盒性质的测试,可以结合相关开发文档去熟悉相关系统业务;针对黑盒测试,可通过实际操作还原业务流程的方式理解业务。

    *业务调研

    业务调研主要针对业务系统相关负责人进行访谈调研,了解业务系统的整体情况,包括部署情况、功能模块、业务流程、数据流、业务逻辑以及现有的安全措施等内容。根据以往测试实施经验,在业务调研前可先设计访谈问卷,访谈有可能会随着对客户业务系统具体情况了解的深入而不断调整、更新问卷(黑盒测试此步骤可忽略)

    *业务建模

    针对不同行业、不同平台的业务系统,如电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统,识别出其中的高风险业务场景进行建模。

    *业务流程梳理

    建模完成后需要对重要业务场景的各个业务模块逐一进行业务流程梳理,从前台到后台、业务和支撑系统等4个不同的维度进行分析,识别个业务模块的业务逻辑、业务数据流和功能字段等。

     

     

    业务模块的流程梳理主要遵循以下原则:

    • 区分业务主流程和分支流程,业务梳理工作是围绕主流程进行分析的,而主流程一定是核心业务流程,业务流程重点梳理的对象首先应放在核心主流程上,无比梳理出业务关键环节;
    • 概括归纳业务分支流程,业务分支流程往往存在通用点,可将具有业务相似性的分支流程归纳成某一类型的业务流程,无需单独对其进行测试;
    • 识别业务流程数据信息流,特别是业务数据流在交互双方之间传输的先后顺序、路径等;
    • 识别业务数据流功能字段识别数据流包含的重要程度不等的信息,理解这些字段的含义有助于下阶段风险点分析。

    *业务风险点识别

    在完成前期不同维度的业务流程梳理工作之后,针对前台业务应着重关注用户界面操作每一步可能的逻辑风险呵技术风险;针对后台业务应着重关注数据安全、数据流以及处理的日志和审计。

    业务风险点识别应主要关注以下安全风险内容:

    业务环节存在的安全风险

    业务环节存在的安全风险指的是业务使用者可见的业务存在的安全风险,如注册、登录和密码找回等身份认证环节,是否存在完善的验证码机制、数据一致性校验机制、Session和cookie 校验机制等,是否能规避验证码绕过、暴力破解和SQL注入等漏洞。

    支持系统存在安全风险

    支持系统存在安全风险,如用户访问控制机制是否完善,是否存在水平越权或者垂直越权漏洞。系统内加密存储机制是否完善,业务数据是否明文传输。系统使用的业务接口是否可以非授权访问/调用,是否可以重放、遍历,接口调用参数是否可篡改等。

    业务环节间存在安全风险

    业务环节间存在的安全风险,如系统业务流程是否存在乱序,导致某个业务环节可以绕过、回退,或某个业务请求可以无限重放。业务环节间传输的数据是否粗壮乃一致性校验机制,是否村子啊业务数据可被篡改的风险。

    支持系统间存在的安全风险

    支持系统间存在的安全风险,如系统间数据传输是否加密、系统间传输的参数是否可篡改。系统间输入参数的过滤机制是否完善,是否可能导致SQL 注入、XSS跨站脚本和代码执行漏洞。

    业务环节与支持系统间存在的安全风险

    业务环节与支持系统间存在的风险,如数据传输是否加密、加密方式是否可完善,是否采用前端加密、简单的md5 编码等不安全的加密方式。系统处理多线程并发请求的机制是否完善,服务端逻辑与数据库读写是否存在时序问题,导致竞争条件漏洞(qq刷钻)。系统间输入参数的过滤机制是否完善。

    *开展测试

    对前期业务流程梳理和识别出的风险点,进行有针对的测试。

    *撰写报告

    针对业务安全测试过程中发现的风险结果进行评价和建议,综合利用场景风险程度和造成的严重程度,最终完成测试报告的撰写

     

    万能用户名|密码

    ajest' or 1=1 # /密码随意

    ajest' or '1'='1/密码任意

    ppp/123' or 1=1#

    admin/123' or '1'='1

     

    业务数据安全

    *商品支付金额篡改

    电商类网站在业务流程整个环节,需要对业务数据的完整性和一致性进行保护,特别熟确保在用户客户端与服务、业务系统接口间的数据传输的一致性,通常在订购类交易流程中,容易出现服务器端未对用户提交的业务数据进行强校验,过度信赖客户端提交的业务数据而导致商品金额篡改漏洞。商品金额篡改测试,通过抓包修改业务流程中的交易金额等字段,例如支付页面抓取请求中商品的金额字段,修改成任意数额的金额并提交,查看能否以修改后的金额数据完成业务流程。

    该项测试主要针对订单生成的过程中存在商品支付金额校验不完整而产生的业务安全风险点,通常导致攻击者用实际支付远低于订单支付的金额订购商品的业务逻辑漏洞。(一分钱买电冰箱)

    *前端JS 限制绕过验证

    很多商品在限制用户购买数量是,服务器仅在页面通过JS 脚本限制,未在服务器端校验用户提交的数量,通过抓取客户端发送的请求包修改JS 端生成处理的交易数据,如将请求中的商品数量改为大于最大数限制的值,查看能否以非正常业务交易数据完成业务流程。

    该项测试主要针对电商平台由于交易限制机制不严谨、不完善而导致的一些业务逻辑问题。例如,在促销活动中限制商品购买数量,却未对数量进行前、后端严格校验,往往被攻击者所利用,够买多个促销商品,造成商家的损失。

    *请求重放的测试

    请求重放漏洞是电商平台业务逻辑漏洞中一种常见的有设计缺陷所引发的漏洞,通常情况下所引发的安全问题表现在商品首次购买成功后,参照订购商品的正常流程请求,进行完全模拟正常订购业务流程的重放操作,可以实现“一次购买多次收货”等违背正常业务逻辑的结果

    该项测试主要针对电商平台订购兑换业务流程中的对每笔交易请求的唯一性判断缺乏有效机制的业务逻辑问题,通过该项测试可以验证交易流程中随机数、时间戳等生成机制是否正常。

    *业务上限测试

    业务上限测试主要针对一些电商类应用程序在进行业务办理流程中,服务的没有对用户提交的查询范围、订单数量、金额等数据进行严格校验而引发的一些业务逻辑漏洞。

    通常情况下,在业务流程中通过向服务器端提交高于或低于预期的数据以校验服务端是否对所提交的数据做预期的强校验。存在此类脆弱性的应用程序,通常表现为查询超预期的信息、订购或兑换超预期范围的商品等。

    该项测试主要判断应用程序是否对业务预期范围外的业务请求做出正确的回应

    *商品订购数量篡改

    商品数量篡改测是通过在业务流程中抓包修改订购数商品数量等字段,如将请求中的商品数量修改成任意非预期数额、负数等进行提交,查看业务系统能否以修改后的数量完成业务流程。

    该项测试主要针对商品订购的过程中对异常交易数据处理缺乏风控机制而导致相关业务逻辑漏洞,例如针对订购中的数量、价格等缺乏判断而产生的意外的结果,往往被攻击者利用。

    测试过程以damiCMS5.4 网上商城为例。

    提交订单,并用Bp抓包

    将数量修改为-1,价格修改为54,提交

    价格修改失败,但是数量修改成功。

    账户余额增加。

     

    密码找回安全

    *验证码客户端回显测试

    找回密码测试中要注意验证码是否回显在像一只中,有些网站程序会选择将验证码回显在响应中,来判断用户输入的验证码是否和响应的验证码一致,如果一致就会通过校验。

    *验证码暴力破解

    找回密码功能模块中通常会将用户凭证(一般为验证码)发送到用户自己才可以看到的手机号或者邮箱中,只要用户不泄露自己的验证码就不会被攻击者利用,但是有些应用程序在验证码发送功能模块中验证码位数及复杂性较弱,也没有对验证码做次数限制而导致验证码可被暴力破解枚举并修改任意用户名密码。

    在测试验证码是否可以被暴力破解枚举时,可以先将验证码多次发送给自己的账号,观察验证码是否有规律,如每次接收到的验证码为重数字并且是4位数。

    *Reponse 状态值修改测试

    Reponse 状态值修改测试,即修改请求的响应结果来达到密码重置的目的,存在这种漏洞的网站或者app 往往因为校验不合格而导致了非常危险的重置密码操作。

    这种漏洞的利用方式通常实在服务器端发送某个密码重置的凭证请求后,出现特定的响应值,比如true、1、ok、success等,网站看到回显内容位特定值后即修改密码,通常这种漏洞的回显值校验实在客户端进行的,所以只需要修改回显即可。

    *Session 覆盖

    找回密码逻辑漏洞测试种也会遇到参数不可控的情况,比如要修改的用户名或者绑定的手机号无法提交参数时修改,服务端通过读取当前session 会话来判断要修改密码的账号,这种情况下能否对Session 中的内容做修改以达到任意密码重置的目的呢?

    在某网站种的找回密码功能种,业务逻辑是:由用户使用手机进行注册然后服务端向手机发送验证码短信,用户输入验证码提交后,进入密码重置页面。

    对网站中Session 覆盖的测试如下:

    1、需要准备自己的账号接受凭证(短信验证码);

    2、获得凭证校验成功后进入密码重置页面;

    3、在浏览器新标签重新打开找回密码页面,输入目标手机号;

    4、此时当前 Session

    账户已经被覆盖,重新找回到第二步中打开的重置密码页面即可重置目标手机号。

    *弱Token 设计缺陷测试

    再找回密码功能中,很多网站回乡用户邮箱发送找回密码页面链接。用户只需要进入邮箱,打开找回密码邮箱中的链接,就可以进入密码重置页面了。找回密码的链接通常会加入校验参数来确认链接是否有效性,通过校验参数的值与数据库生成的值是否一致来判断当前找回密码的链接是否有效。

    [htttp://www/xxx.com/findpwd?uid=xx-sxx&token=1497515314]

    *密码找回流程绕过测试

    很多网站密码找回功能一般由以下几个步骤。

    1、用户输入找回密码的账号;

    2、校验凭证:向用户发送短信验证码或者找回链接,用户填写验证码或单击链接进入密码重置页面,以此方式证明当前操作用户是账户本人;

    3、校验成功进入重置密码页面。

    再找回密码逻辑中,第二步凭证最为重要。不是账户主人是无法收到校验凭证的。试想办法可以绕过第二步凭证校验,直接进入第三步重置密码呢?

    用户修改密码需要向服务器发送修改密码请求,服务器通过后再修改数据库中相应的密码,所以在测试中我们首先要收集三个步骤的请求接口,重点是收集到最后一步重置密码的接口,这样我们可以直接跳过凭证校验的接口尝试直接重置密码。

    *接口参数账号修改

    找回密码功能逻辑是常常会在用户修改密码接口提交参数中存在传递用户账号的参数,而用户账号参数作为一个可控的变量是可以被篡改的,从而导致修改账号密码的凭证或修改的目标账户出现偏差,最终造成任意账号密码修改漏洞。

    通常在找回密码逻辑中,服务端会要求用户提供的要修改的账号,然后给这个账号发送只有账号主人才能看到的凭证。比如这个账号主人绑定的邮箱或者手机号发送验证码,或者找回密码链接,这样可以保证只有账号主人才可以看到这些凭证。但是如果服务器对账号的控制逻辑不当,就会导致原有账号被篡改位其他账号,服务器端把凭证发送给篡改后的账户的邮箱或手机,最终造成可利用凭证重置任意账号密码的漏洞。

    接口参数账号修改流程测试为拦截前端请求,通过修改请求内的账号ID 、名称或者邮箱、手机号等参数,将修改的数据发送给服务器进行欺骗达到密码重置的目的。

    我们以metinfov4.0 来作为例子,说明这个问题

    注册一个账号

    账密[GGG/123456]

    登录

    修改密码,并用Bp抓包 

    密码:[111111]

    提交

    使用账密[GGG/222222]登录成功,说明我可可以通过修改数据包中的值来达到修改密码的目的

    我们再次来到修改密码界面,使用Bp 抓包

    我们来到管理员登陆界面,使用账密[admin/222222]成功登录。

    进入后台

    用户登录密码爆破

    输入用户名错误的密码提交,使用Bp 抓包,发送至intruder模块

    将用户密码设置为变量

    添加密码字典

    爆破成功。


    参考文献:

    千峰网络信息安全开源课程

     

    展开全文
  • 安全模型和业务安全体系

    千次阅读 2020-02-19 16:57:31
    网络安全和业务安全 网络安全中,攻击者往往通过技术手段,以非正常的技术(XSS、Injection、Penestrating等),影响业务正常运行,窃取敏感数据。比如:某黑客通过SSRF进入内网,并在内网横向扩张,最终脱库成功。 ...

    网络安全和业务安全

    网络安全中,攻击者往往通过技术手段,以非正常的技术(XSS、Injection、Penestrating等),影响业务正常运行,窃取敏感数据。比如:某黑客通过SSRF进入内网,并在内网横向扩张,最终脱库成功。

    业务安全中,黑灰产基于非正常的资源(IP、手机号、身份信息等),通过正常的产品流程,获取利益,影响业务正常运营。比如:黑灰产通过大量手机号注册新号,获取企业新户奖励,最终批量套现。

    网络安全中,攻击者的意图多种多样:有挖漏洞卖钱的,有卖隐私数据赚钱的,有恶意报复的,也有纯粹炫技的。但对于业务安全,黑灰产的目的其实很直接,就是钱。

    在这里插入图片描述

    由于国外网络安全发展较早,且国外对于个人隐私的保护更加严苛,所以在传统网络安全这一领域上,国外一直领先于国内的整体水平。而对于业务安全,则是一个极具中国特色的安全发展方向,因为早期互联网烧钱式的推广营销,大大刺激了黑灰产的迅速发展。

    这就引发了一个思考,在较为成熟的网络安全中,有没有什么知识,是可以运用到业务安全中,帮助业务安全的快速发展呢?在微博业务安全发展中,就尝试了运用安全模型的概念,来搭建业务安全整体的体系架构。

    IPDRR模型简介

    IPDRR是NIST提供的一个网络安全框架(cybersecurity framework),主要包含了五个部分:

    • Identify:评估风险。包括:确定业务优先级、风险识别、影响评估、资源优先级划分
    • Protect:保证业务连续性。在受到攻击时,限制其对业务产生的影响。主要包含在人为干预之前的自动化保护措施
    • Detect:发现攻击。在攻击产生时即时监测,同时监控业务和保护措施是否正常运行
    • Respond:响应和处理事件。具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统
    • Recover:恢复系统和修复漏洞。将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复

    当然在各个部分中,又涵盖了企业在网络安全中需要关注的各种细节问题,来帮助企业快速搭建网络安全体系。
    在这里插入图片描述
    PS:顺带科普一下常见的安全标准:NIST、ISO、COBIT、ITIL、等保等。其中NIST是美国的国家级安全标准。ISO(著名的两万七系列)是国际性的,通用性更强。COBIT和ITIL都和ISO紧密联系,也是比较经典的安全标准。而国内也同样提出的等级保护这样的安全标准,当然,相对水一些。

    这些安全标准之所以会提出安全框架的概念,就是因为,在网络安全中,企业所遇到的问题往往是相似的,所以能够总结出一套比较通用的框架来。有了安全框架之后,后续不论是对企业安全建设的指导,还是对于企业安全水平评估,都有了很好的标准。

    而对于业务安全来说,因为业务的多样性,所以一定程度上很难总结出非常具体的安全框架。但是,在相对高一些的层次上来说,业务安全大的流程和思路往往是相似的。因此,可以使用安全模型对业务安全进行总结和指导,避免思维被局限(比如:风控系统解决所有业务安全问题),出现安全短板。

    模块介绍与实践

    Identify

    在业务安全中,Identify部分的主要工作是:定义业务的安全需求。对于大部分业务来说,其面临的安全问题一般都比较直接,比如:投票榜单类业务,就是怕被刷;拉新促活业务,就是怕被薅等。也就是说,尽管手段多种多样,但是黑灰产的目的往往很单一。

    在这种情况下,就必须首先和业务方确定,他们对于业务的风险能够接受多少,比如下表所示:有的业务方可能涉及直接的资金投入,不允许黑灰产的存在;有的业务则只是排名上的影响,被刷一定程度上也能带来流量。这些安全需求的确定,能够帮助安全部门来作出决策:这个业务需要什么样的安全服务,需要投入多少精力到这个业务中去。

    因素业务A业务B业务C
    业务KPI/防刷目的拉新并提高新户留存提高老户留存提高业务公信力
    被刷产生的影响/对刷量容忍度/准确度要求
    被刷概率/黑产可能获利
    目标用户真人用户,非小号高质量用户真人用户,可以是小号
    实时性要求
    误伤影响

    Protect

    Protect强调的是,在人为介入之前,能够自动运行的防御机制,如网络安全中的防火墙、waf等。在业务安全中,更倾向于将其定义为产品机制上的安全防御。对于同一个业务场景,采取不同的安全机制,将会起到很大的差异。比如说,对于抽奖来说,给抽奖制定什么样的门槛。门槛越高,则用户体验越差,参与量越小。但随之而来的,黑灰产的成本也越高,被刷的概率也越小。那么,这就需要安全部门和业务部门共同协商制定,来把控这个安全门槛的尺度。

    业务低安全中安全高安全
    抽奖参与条件转发关注并转发关注30天以上转发
    红包领取无限制需绑定身份证需绑定支付宝,并识别人脸
    优惠/折扣券满10减10满10减9.99满10减9.99,3天内有效
    转评赞、红包金额无上限公开上限100w隐式上限

    Detect

    业务安全中,Detect和Protect的主要区别在于:Detect会基于数据进行分析,然后找出有问题的数据,并进行处理;而Protect并步区分正常和异常数据,只是普适性的提高成本,来加强安全。

    因此,Detect就是所谓的风控系统。需要再次强调的是,风控系统是业务安全中很重要的一个部分,但仅仅依靠风控系统,是没有办法做好业务安全的。

    关于风控系统,因为内容过多,在此就不展开来细谈了。可以参考公众号发布的风控相关文章进行了解。

    Respond

    严格意义上来说,Detect只负责进行识别,而具体的处理和响应,就需要放到Respond中来进行。当然,对于异常数据的处理方式,也就常规的几种:稍重一些的直接拦截,稍轻一些的则插入各种验证方法(图片、短信、滑块等)。

    这里需要额外强调一点的是,在处理异常数据的过程中,一定要考虑到反馈入口的添加。比如拦截时,可能弹出一个操作异常的页面,但在页面中添加一个投诉反馈的入口。对于投诉的信息,不一定要全部处理,但一定要监控其波动水平。比如说:某天投诉的用户量突然上涨了好几倍,那么很可能就是风控出现误伤了,亦或是黑灰产发起了集中的攻击。不论是哪种情况,都需要及时人工介入来进行分析处理。

    另外,如果资源足够的话,也可以组织专门的团队来负责应急响应处理的工作。当黑灰产发起攻击时,收集证据,发起溯源。当损失达到一定程度时,也可以通过法律途径,来进行打击。随着《网络安全法》的发布,目前网信办、网安、公安等,都越来越重视网络犯罪的打击。不要认为只有严重的资产损失才能报案,今年以内,微博以经对刷榜单、刷互动、甚至抓站的团体和公司发起了很多司法诉讼,也成功将很多黑灰产团伙关进了小黑屋。(蔡徐坤微博上亿转发量幕后推手 “星援”APP被端 嫌疑人在泉落网

    Respond

    Respond表示要对业务进行恢复操作。如果被薅羊毛了,就及时冻结资金,避免提现转出;如果被刷了,就撤销行为,还原真实数据;如果实在弥补不回来了,就可以寻求法律援助。

    当然,分析根本原因,补足安全措施,不断提升企业的业务安全水平,才是安全人员需要持续投入精力去进行的。
    在这里插入图片描述

    总结和展望

    基于微博业务安全的推动和发展进程,总结出了一些业务安全发展初期的建议,核心是:先求全,全面铺开;再求深,提升竞争力

    • Identify需要对业务方进行一定的安全教育,比如:“防刷”到底是防什么样形式的刷
    • Detect为推动的基石, 只要能够识别部分的攻击行为,就能够说服业务进行合作
    • 成功接入后,以Protect优先,避免因为未发现的漏洞,导致业务直接被打崩
    • 部分Protect逻辑,如果业务方不愿意额外开发,可以转接到风控引擎中来实现
    • Detect逻辑求稳为主,漏判可以想办法弥补,一旦误伤过量,可能被业务直接拉黑
    • 提供完善的Respond服务,人力成本较高,但业务满意度很高

    业务安全是一个很大的概念,绝不是某几个工具或系统能够实现的。正如在网络安全中,乙方公司可以做出WAF、IDS/IPS、漏扫等专业的安全产品,但无法为企业建立完整的安全架构(也有提供安全建设的厂商,不过都是通过长期驻场,深度合作来实现的)。因此,业务安全中,乙方公司也许可以做出风控系统、验证码、人脸识别等安全产品,但业务安全的建设,还是需要依靠安全团队来进行规划和构建。

    安全框架,对于企业业务安全发展,能起到很核心的作用。安全框架作为一个High Level的指导论,能够帮助安全团队快速理清工作目标,并发现安全短板,从而全面的提升企业的安全水平。另外,由于其通用性,安全框架也能够在多样的业务场景下,给予安全团队和业务部门指明方向,避免将过多的精力放在无用的地方,提高效率。

    当然,因为业务安全的特色,安全框架无法像其再网络安全中一样,事无巨细的列举出企业应该做的每一项事情。因此,在细节上,如果更好的为业务提供安全服务,仍然需要安全团队结合业务特色,进行具体的决策。

    最后,安全无“银弹”!

    展开全文
  • 业务安全漏洞总结

    千次阅读 2021-11-25 14:38:22
    登录认证模块 暴力破解 暴力破解测试是指针对应用系统用户登录账号与密码进行的穷举测试,针对账号或密 码进行逐一比较,直到找出正确的账号与密码
    展开全文
  • 业务安全-业务安全

    千次阅读 2019-05-28 10:33:43
  • 链接:https://pan.baidu.com/s/1BHYV8iqHd4HftFmZ69VajA 提取码:jtug
  • 反爬虫业务安全概览

    千次阅读 2019-07-12 17:24:01
    反爬虫业务安全概览起源蚂蚁吃大象残酷的竞争恶意报复反爬虫我们要防御什么刷量占用资源信息资源盗取反爬虫技术防御视角反爬虫的挑战在哪里传统方案难以应对分布式爬虫数据采集难度大反爬虫防御现状利用 IP 和 UA ...
  • 2020年3月28日晚,安在新媒体携手网易共同举办了安在讲堂网络安全公益讲座第一季特别专场,以“泛社交业务安全风控”为主题,进行了深入的探讨和分享。网易易盾首席产品风控官imlolo、恺英网络信息安全总监杨晓东、...
  • 业务安全漏洞挖掘归纳总结

    千次阅读 2015-08-13 10:27:33
    6.30在OWASP的分享,关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方,使用已知用户对密码进行暴力破解或者用一个通用...
  • 在上一讲中,我们探讨了业务安全和黑产(也叫黑灰产),知道了业务安全的本质就是资源对抗,业务安全的防护手段就是提高黑产的资源成本,并且针对不同的资源类型,我们需要采取不同的方法来进行对抗。 在基础安全中...
  • 解析P2P金融的业务安全

    千次阅读 2015-10-19 15:28:28
    看了很多乙方同学们写的业务安全,总结下来,其出发点主要是在技术层面风险问题。另外捎带一些业务风险。今天我要谈的是甲方眼里的业务安全问题,甲方和乙方在业务安全的视野上会有一些区别和一些重合。在同一个问题...
  • 业务安全测试关键点

    千次阅读 2020-12-30 16:45:22
  • 软件业务功能---安全设计

    千次阅读 2017-11-24 11:19:34
    安全设计目的 软件在恶意攻击下能够正确地完成其功能 产生安全场景 意外行为恶意行为 场景1:管理员或普通人员删除数据操作 例如:以下(修复待验证安全问题)删除数据请求,通过参数codes的值,来删除数据。...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息...
  • 腾讯业务全景图

    千次阅读 2019-06-20 16:56:10
    自公司宣布升级移动互联网战略,MIG(移动互联网事业群)将更加聚焦于移动互联网基础平台,承担起移动互联网的底层安全责任,以便更好地拥抱移动互联网发展趋势,探索和孵化更多新业务。调整后的MIG聚焦于浏览器、...
  • 企业业务逻辑常见风险

    千次阅读 2021-01-12 15:06:07
    开发人员的安全意识薄弱(只关注功能的实现,而忽略了用户使用过程中个人行为对Web应用程序业务逻辑功能的安全影响)和开发代码的频繁迭代导致了这些平台业务逻辑级的无休止的安全风险。业务逻辑漏洞主要是开发人员...
  • 文章目录系统测试概述功能测试性能测试负载测试压力测试性能测试、压力测试、负载测试的关系兼容性测试安全测试健壮性测试配置测试可用性测试文档测试 系统测试概述 系统测试的定义 将已经集成好的软件系统,作为...
  • 美团点评业务风控系统构建经验

    千次阅读 2017-06-01 11:18:52
    尤其是经过与大众点评的业务融合,从单一业务发展成了覆盖到店餐饮、到店综合、猫眼、外卖、酒店、旅游等多个垂直领域的综合性电商,并且在各个领域都处于行业领先的地位。在这背后,美团点评不仅面临激烈
  • 业务域名 :据说是微信浏览器中访问域名内容,和提示红色安全提醒,添加到这里面的域名就不存在这个问题。好像现在没遇到过。 也不知道是否有其他用处,现在微信后台(服务号设置3个)2.JS接口安全域名: 主要是基于...
  • python flask web开发入门与项目实战

    千人学习 2019-12-15 19:02:04
    如果采用成熟、稳健的框架,那么一些诸 如安全性、数据流控制等类型的基础性工作都可以让框架来处理,而程序开发人员则可以把更多的精力放在具体业务逻辑功能的实现和优化上。 使用Flask框架的优势有以下几点: ...
  • 安全架构总体方案

    万次阅读 2016-11-23 11:56:09
    信息安全是保证大数据平台安全稳定运行的关键,需要建设完善的信息安全主动防御体系和信息安全治理体系。大数据平台信息安全将遵循相关安全规范和安全策略,总体安全防护方案参照等级保护第三级系统安全要求进行设计...
  • 业务安全真正力量是内生的,专业的安全风控公司可以提供工具、平台和策略建议,但是只有业务方真正理解风险了防控思路,才能在与黑产的对抗中设计好业务规则、运营好安全策略,取得较好的效果 在业务安全领域中和...
  • 运营商互联网业务暴露面安全

    千次阅读 2018-07-18 00:57:35
    对于一个士兵 来说,最大的梦想就是能上战场真刀实枪的干上一战,同样对于一名安全人员来说,自己设计、建设的经过层层防护的系统,如果没有经历过一次攻击,不免有点索 然无味。在众多的甲方当中,运营商互联网业务...
  • 中华人民共和国金融行业标准JR/T 0068—2020 网上银行系统信息安全通用规范是2019年10月份推出代替 JR/T 0068—2012,在2020年2月5日开展实施执行,作为一部通用规范合规要求,很有研读意义。 本标准通过收集、...
  • 01.混合云架构下的安全风险分析1. 混合云架构下的安全风险分析企业混合云环境,一般包括一个或多个公有云厂商以及自建的私有云平台,从信息安全风险管理角度来看,实施混合云涉及到IT基础架构...
  • 陈树华是阿里巴巴移动安全部负责人,阿里聚安全、阿里钱盾等产品创始人,移动互联网安全体系建设开拓者,也是国内最早的一批移动安全专家。10年前,他加入趋势科技,发现了诸多系统安全漏洞,并主...
  • 问题:     服务器上装的是wamp,用的是thinkphp5.0.24框架,将下载的MP_verify_lqmW0KlnRj4xOr2N.txt文件放在项目根目录下,结果报错:访问内容与文件不一致 解决办法:     将MP_verify_lqmW0KlnRj4xOr2N.txt...
  • 三级等保成标配,互联网医院安全架构报告发布 原创动脉网2020-09-24 10:43:19 互联网医院本身处于互联网环境中,随时面临着未知人员的恶意访问与攻击行为,...为了解决网络安全建设与业务发展割裂的问题,从网络安..

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 676,916
精华内容 270,766
关键字:

业务安全