攻擊類型
SQL注入、XSS跨站腳本攻擊、任意文件讀取、CSRF攻擊、遠程拒絕服務類攻擊(DDoS)、
jiasale電商支付系統重要漏洞,賣家損失巨大
漏洞觸發場景:
1、在含有jiasale的網站,購買商品下訂單
2、記錄訂單號
3、登錄任意一個jiasale網站賬戶,通過特殊鏈接可以隨意的更改價格,完成支付。比如把999元的改成0.01元
4、如果是自動髮卡的,自動發貨的,可以直接收到商品。
5、不管是商業用戶,還是普通用戶,都收到此影響。
分析及解決:
這種漏洞屬於低級漏洞,支付接口對接時不應該接收前端頁面關於價格的信息,也不應該開放一個頁面允許用戶去修改訂單信息特別的是訂單的金額。其次對接支付接口的時候,異步或者同步返回的信息除了做支付平臺提供的認證校驗,還要最少做訂單號和訂單金額的校驗。
遊戲電商類網站的支付漏洞
漏洞觸發場景:
第一步:騙子在網站a上註冊會員。人工或者使用自動程序,在網站a上獲取下單,得到訂單號;
第二步:騙子把訂單支付網址發給被騙者,誘導被騙者支付。被騙者訪問支付網址,就會跳轉到第三方支付平臺,接着進入網上銀行支付貨款。支付成功後,就等於花錢替騙子買了東西。
第三步:騙子瞬間把買到的東西揮霍一空。
分析及解決:
網站a沒有檢測到下單者和支付者不是同一個人,也沒有開發開關及時凍結騙子會員賬號。
網易寶的解決思路:購物對用戶來說,主要分爲下單、支付兩個操作環節。比較用戶下訂單時的ip地址和支付後返回網站時的ip地址是否相同。如果兩個ip地址不一樣。那麼就可以肯定下單和支付不是同一個人,就可以自動封禁該會員,禁止該會員對賬戶的操作權限。如果ip地址一樣,可以判定是同一個人,應該不是異常單子。
但是對於大部分網商系統來說,支付頁面都是有權限控制的,必須用戶登錄系統方可支付,所以這類漏洞出現的概率較低。
怎麼抵禦DDOS
對付DDOS是一個系統工程,想僅僅依靠某種系統或產品防住DDOS是不現實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當的措施抵禦90%的DDOS攻擊是可以做到的,基於攻擊和防禦都有成本開銷的緣故,若通過適當的辦法增強了抵禦DDOS的能力,也就意味着加大了攻擊者的攻擊成本,那麼絕大多數攻擊者將無法繼續下去而放棄,也就相當於成功的抵禦了DDOS攻擊。以下幾點是防禦DDOS攻擊幾點:
1、採用高性能的網絡設備
2、儘量避免NAT的使用
3、充足的網絡帶寬保證
4、升級主機服務器硬件
5、把網站做成靜態頁面
6、增強操作系統的TCP/IP棧
7、安裝專業抗DDOS防火牆
8、限制IP操作的間隔。(這個做法在淘寶和京東上都有很明顯的痕跡,相當於犧牲用戶體驗換取服務器安全的做法)
案例回顧
在互聯網金融方面,目前主要有以下幾種類型的漏洞狀況:
( 摘錄自:http://tanhaisheng.baijia.baidu.com/article/170646 )
(1)權限越權操作
主要是由於不安全對象引用和功能級別訪問控制缺失所導致,比如說“越級上報”,最近新出的一個安全漏洞即華安保險網上理賠系統後臺JBoss無驗證導致上傳webhshell,遠程腳本執行敏感信息泄露,就屬於這種越權操作的行爲,當然此行爲有時會是黑客所爲,有時卻是金融系統管理不善導致。
1)上傳的文件不可執行,限定文件格式。
2)項目目錄不可直接訪問。
(2)用戶密碼重置
網上辦理業務時密碼被盜取,銀行裏的錢不翼而飛,這種情況通常與密保電話、密保郵箱等密碼被盜取有關。許多的金融業務的平臺都存在“動態密碼”,即用戶輸入手機或是郵箱時,因爲某些系統的保密性不足,手機號碼和相關用戶名等信息被竊取和重置,給用戶帶來損失。
1)關鍵信息替換時,需要經過用戶人工干預這一流程,這樣就沒法被批量或者被腳本更新。
(3)信息泄露
信息泄露是互聯網安全漏洞頻發的主要原因。在一些網上銀行、互聯網保險業務等行業裏,經常會要求在網上輸入用戶的個人相關信息,如果某些信息在審查過程中監管不到位,那麼這樣的信息泄露事件就非常容易發生。
非IT背景出身的老闆,不瞭解資深IT存在的價值,各位同學,道不同不相爲謀!