随着电商行业蓬勃发展,电商平台的安全需求越来越高。丰富的个人信息和资金吸引了众多攻击者。因而对电商网站的攻击事态不断加剧,新闻、媒介、反诈骗网站关于电商攻击诈骗播报不断,电商平台安全面临着严重的考验。

行业现状

2016年全年中,漏洞盒子安全平台共收到各类网站漏洞5万多个,共收取到的电商行业的安全漏洞1.6万多个,占全年漏洞总数的30%多。其中,存在业务逻辑安全漏洞的网站共有4.4千个,占整个业务逻辑漏洞总数的40%左右,所以从电商行业来看,目前业务逻辑漏洞出现明显上升趋势,约占其四分之一。--数据来源-漏洞盒子,截止2017年2月

漏洞类型比例:目前漏洞盒子平台收集到的电商行业漏洞种类繁多,包括有SQL注入、验证码绕过、密码重置、XSS、跨站请求伪造等,其中业务逻辑漏洞所占比例最大,如图

业务逻辑漏洞:一种业务逻辑上的设计缺陷,所引发的业务流程安全问题

以小买大:在支付时直接修改数据包中的支付金额,实现小金额购买大金额商品

实现0付款:修改购买数量,使之为负数,可购买负数量商品,从而扣除负积分,即增加积分,或使购买数量无限大,无限大时则程序可能处理出错,从而实现0金额支付

请求重放:在购买成功后重放请求,可实现“一次购买多次收货”。以及绕过第三方校验、支付前随意更改单价等一系列业务逻辑问题

业务数据篡改:服务器仅在通过JS脚本限制,没有对订单进行合理校验,从而对订单中金额、数量、手机号、用户ID、商品编号。其它业务进行篡改,造成严重的经济损失

业务越权查看:用户在没有认证授权的情况下,直接访问需要认证的网页或文本信息,并进行增、删、改、查操作,造成数据丢失、订单信息篡改等,使数据失去机密性和完整性

业务场景建模分析:漏洞盒子连接全球顶尖安全专家,以专业的视角分析电商平台业务模型、为电商行业打造高效、透明的互联网安全测试服务

电商的业务逻辑复杂是程序员相当头疼的事情,往往系统会存在一些意想不到的漏洞,而我们拥有探测这些漏洞的经验优势,尤其是业务+支付等重要环节安全不容忽视。

1、WEB端模块测试:

登录模块:登录认证有效性、用户名密码明文存储、验证码绕过、暴力破解

商户模块:购物车模块权限测试(查看、收藏、删除、修改等越权)、订单CSRF漏测试

结算模块:个人信息权限测试(查看、删除、修改等越权)、SQL注入型测试、跨站挂马测试

支付模块:银行支付网关测试(积分、金钱、订单号等信息)、商品数量、价格、积分数有效性测试

订单模块:恶意评价测试(跨站攻击、刷单评价)、订单越权测试(查看、删除、修改等越权)

2、APP端模块测试

登录模块:SQLite明文存储、逆向分析(反编译、反汇编、动态分析)、APP登陆不安全加密算 法、Actiyity劫持、登陆凭证窃取

传输模块:敏感信息明文传输、弱加密传输、无效SSL证书、中间人劫持、请求与响应完整性检验

支付模块:订单越权查询、订单用户信息泄漏、表单SQL注入、XSS攻击、支付金额篡改、积分逻辑问题 、恶意评价商品、恶意刷单,订单删除和修改、支付请求并发测试、篡改正常支付业务流程、外挂抢红包

风险管理:

1、技术角度限制:

1、VPN-统一流量审计;

2、堡垒机-测试过程行为监控;

3、平台内置工单处理机制-第一时间进行漏洞处理,用待处理、工单中、已修复、已忽略等状态来确定漏洞的真实性。

2、人员管理角度限制:

1、平台白帽子严格等级划分制度;

2、测试团队组建:自有测试团队(30%)+核心白帽子团队(70%)。提供10~50名测试人员,具体数量可根据企业需求调整。

3、项目管理角度限制:

1、实名登记 ,包括身份证、联系方式、银行卡账号等信息;

2、相应奖罚制度对于违规者有严厉的惩处措施;

3、记录参与项目白帽子信息,包括IP,名称,时间等,以及内置即时聊天工具可以很好的和白帽子沟通。

成果输出:企业在漏洞盒子参与测试之后,将获得完整的漏洞报告。报告中包含详细的测试结果数据、漏洞信息、安全评级、漏洞状态等:

1、平台能够对测试结果数据进行在线分析,能够根据端口、漏洞名称、IP地址等关键字对测试结果进行查询并能将查询结果保存

2、支持高级数据分析,能够进行历史数据查询、汇总查看、对比分析等

3、测试报告提供在线浏览报告和离线打印报告;离线报表提供针对不同角色的默认模板,允许用户定制报告的内容、报告的格式等

4、离线报告可以输出到HTML、WORD、EXCEL(XML)等文件,报告可以直接下载或通过邮件直接发送给相应管理人员,并且输出报表美观可直接打印

5、报表中综述、漏洞、漏洞级别、漏洞分类、测试人员(提交者)等信息进行分类显示

成功案例