电商企业的漏洞挖掘大全.pdf

电商企业的漏洞挖掘大全 Ruby 关于我 • 孙捷 Ruby • 安氏、华为、Check Point • Freebuf 漏洞盒子 合伙人 • 坐不住的人 关于漏洞盒子 身份 桥梁 • 测试人员（白帽子）= 企业 • 测试人员（白帽子）= 相关机构 = 企业 合作 我们想做什么？ 白帽子 企业 互联网安全服务平台 安全专家/ 团队 安全厂商 企业的安全 “深井” 漏洞安全需求 企业业务安全+ 安全交付服务 •企业漏洞收集、响应以及危害消除 •安全事件+ 漏洞 •安全漏洞“Turnkey ”挖掘服务 •行业安全情报整合 •行业应用层漏洞最佳方案交付服务 •基础运维+ 漏洞 •SOC 、SRC 完善企业安全机制 •安全培训（运维级培训+开发级培训） •补丁管理+ 漏洞 • “江湖”地位 •漏洞闭环管理交付 •业务审计+ 漏洞 •人员管理+ 漏洞 企业关注业务层面安全风险的发现、消除、闭环管理，应用层漏洞的生命周期跟踪 5 电商平台漏洞类型 安全漏洞向“钱”看 详情可在F下载 《2015金融行业互联网安全报告》 漏洞攻击趋势 • 普通漏洞业务逻辑漏洞（支付，金额，用户数据相关的逻辑 漏洞） •Web应用漏洞APP漏洞/各类API接口/微信接口漏洞 • 一次性攻击APT （高级持续性威胁）攻击 核心：盗取用户数据，获取金钱利益 面临问题 • 技术层面 • 来自外部的黑客攻击，非授权访问；数据库数据被非法下载，篡改等； • 管理层面 • 主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范； 研发运维缺乏安全意识带来的安全隐患等等 案例一：利用逻辑缺陷重置任意用户密码 1.通过正常步骤获得有效的digiSign状态 • 正常步骤重置自己账号的密码 • 提交时候通过截包工具拦截数据包。可以看到重置密码是有 digiSign签名字段验证的 • 保存下digiSign字段，即会话状态。Drop掉数据包，避免会话一 次验证失效 2.绕过手机验证码，进入下一步 找回他人手机的密码，验证码任意输入 • 将服务端返回的数据包code改为成功状态的00，绕过进入下一步 3.使用digiSign重置他人密码 • 在很多情况下，通过简单改包可以绕过步骤，提交服务器会失败， 因为没有有效的会话状态。但是如果服务端校验逻辑出现问题，就 会出现：替换第一步的有效digiSign，最终成功重置他人密码 案例二：绕过签名任意修改支付金额 • 购买商品，选择网银在线支付。直接修改金额提交会直接提示参 数错误。 但是在正常请求提交返回包中不经意间泄露了一个叫key的字段 • 经人工分析发现：key就是对请求参数进行md5的salt 将订单中的v_amount,v_moneytype,v_oid,v_mid,v_url参数的 value值拼成一个无间隔的字符串,使用key作为salt即生成任意伪 造数据签名 案例三：APP明文传输、无校验、越权、SQL注入 案例四：运营商APK程序可逆20亿通话信息 传统安全问题 Web2.0 互联网安全问题 框架安全问