新型漏洞
文章平均质量分 87
随着网络安全威胁的不断演化,新型漏洞的发现和利用手段变得愈发复杂多样。为应对这一挑战,新型漏洞专题知识库旨在为安全从业者、研究人员及开发人员提供一个集成化的、及时更新的漏洞知识平台。
世界尽头与你
一个懂安全的开发者
展开
-
短链安全漏洞
短网址服务可以提供一个非常短小的URL以代替原来的可能较长的URL,将长的URL地址缩短。用户访问缩短后的URL时,通常将会重定向到原来的URL。短网址服务主要起源于一些具有字数限制的微博客服务,但是现在广泛用于短信、邮件等。短网址服务的基本流程:用户将长网址提交到短网址服务中,之后短网址服务经过URL处理之后,利用转换算法对长网址进行转换,最后分别将长网址和短网址存储到数据库之中。部分短网址服务为了防止出现对短地址进行连续转化或者提供一些展示长网址TITLE的功能,所以会对长网址进行访问。原创 2024-07-15 17:26:05 · 1022 阅读 · 0 评论 -
iOS内购欺诈漏洞
黑产别的App上低价充值(比如1元)换取苹果真实凭证,再在目标App上下单高价(648元)商品,传入该凭证,如果目标App服务端苹果凭证校验接口存在漏洞,只校验了凭证中商品和订单信息,未校验凭证中App来源(bundleID),则会验证通过,进而发货对黑产来说,黑产实际只支付了1元,就能买到目标App的648元商品;对于目标App来说,他连这1元都没得到(因为是在别的App上充的),完全被白嫖648元商品。可谓伤害极大。原创 2024-05-28 11:03:01 · 1452 阅读 · 0 评论 -
支付安全常见问题
防篡改与防抵赖一般也称为数据的完整性和真实性验证问题,通常使用签名验签技术解决签名:发送者将数据通过特定算法和密钥转换成一串唯一的密文串,也称之为数字签名,和报文信息一起发给接收方。验签:接收者根据接收的数据、数字签名进行验证,确认数据的完整性,以证明数据未被篡改,且确实来自声称的发送方。如果验签成功,就可以确信数据是完好且合法的。身份验证:确认支付信息是由真正的发送方发出,防止冒名顶替完整性校验:确认支付信息在传输过程中未被篡改,每一笔交易都是完整、准确的。原创 2024-07-25 16:06:58 · 1112 阅读 · 0 评论 -
电子支付漏洞常见预防措施
用户在刷卡前后,保证卡片不离开自己的视线,当发现自己的卡片被收款人员异常操作时,立即停止刷卡。刷完卡后,保证卡片会立即归还给自己,防止卡落入攻击者手中。原创 2024-09-11 16:36:49 · 451 阅读 · 0 评论 -
支付环节攻击方式与漏洞类型
物理攻击、网络攻击和社会工程学攻击物理攻击是指通过物理接触方式对感知设备本身进行攻击(例如 IC 卡、射频卡等),包括但不限于卡号篡改、卡号覆盖、卡号复制、扇区密码破解、扇区数据未加密等。对于日常生活中常见的交易支付卡片主要有两种,低频 ID 卡和高频IC 卡,它们按照各自特性分别应用在我们日常生活中的方方面面。例如我们日常使用的水卡、电卡、饭卡、银行卡、燃气卡等等。对 ID 卡主要攻击方式为卡复制,对 IC 卡的攻击方式主要有卡数据嗅探、卡数据重放、卡复制、卡数据破解与篡改。原创 2024-09-11 16:34:40 · 1369 阅读 · 0 评论 -
电子支付原理
电子支付通用支付流程一般涉及四个主体:消费者、商家、金融机构以及移动运营商。电子支付的具体原理根据不同的支付方式有所不同,电子支付一般可以分为线下支付与线上支付。线下支付主要使用的通信技术有 RFID、NFC、蓝牙。线上支付一般通过短信、邮件、移动网络等完成。原创 2024-09-11 16:33:20 · 901 阅读 · 0 评论 -
电子支付漏洞概述
以目前应用最为广泛的线上电子支付技术为例,用户完成支付之前,需要借助 PKI(全称:Public Key Infrastructure,公钥基础设施)来和金融机构的服务接口建立一个经过 CA(全称:Certificate Authority,权威证书签发机构)认证身份的安全连接。但由于缺少实体卡的认证保护,付款者必须输入信用卡安全信息来证明自己持卡人的身份。针对身份认证问题,Mastercard,Visa 等卡组织推出了 3D Secure 协议,而第三方支付平台则会使用自己的身份认证协议。原创 2024-09-11 16:32:15 · 362 阅读 · 0 评论