支付框架常见攻击面

最新推荐文章于 2024-01-26 00:00:00 发布
最新推荐文章于 2024-01-26 00:00:00 发布
阅读量480 收藏
点赞数
分类专栏: 支付 安全
原文链接:https://www.researchgate.net/publication/316913275_Show_Me_the_Money_Finding_Flawed_Implementations_of_Third-party_In-app_Payment_in_Android_Apps
版权

支付框架业务流程以及常见攻击面

主流支付框架

目前主流的支付应用有支付宝、微信支付、银联和百度支付,众多应用都集成了它们一种或者多种支付功能。在整个支付流程中包含一下几个部分(可能不同版本有些不同):支付应用服务器(cashier server,cs)、电商应用(merchant app,MA),电商应用服务器(merchant server,MS),以及支付应用SDK(TP-SDK)。

模型1:微信和银联

下面这个支付流程是微信和银联采用的流程,在具体实现过程可能会有不同,但是总体是相似的;
在这里插入图片描述

模型2:支付宝和百度支付

在这里插入图片描述

攻击模式

在讲解攻击面之前,我们需要确定攻击者能够控制什么。我们假设攻击者是一个普通的用户(恶意用户),他能够掌握自己手机上支付应用以及集成支付功能的应用上面的数据,同时攻击者还能捕获和控制到支付应用和电商应用和服务器之间的通信数据,包括破坏、伪造报文(手机是攻击者的),攻击者不能控制电商服务器和支付服务器之间的通信数据

安全规则

基于上述两种支付流程的观察,为了实现安全的支付功能,开发者需要履行一些安全规则;

  1. 支付订单(order_p)必须由电商服务器(MS)生成并发送;
  2. 在电商应用(MA)上不能存储任何敏感信息(签名的密钥);
  3. SDK需要通知用户支付订单的具体信息;
  4. SDK需要校验所有的来自MA的交易信息;
  5. 客服端应用到各个服务器之间的通信要加密;
  6. 各方需要校验所有接受到的数据的签名;
  7. 电商服务器需要向支付服务器确刚完成的认支付信息;

其实上述的安全规则就是对支付框架做渗透测试的测试点;

订单篡改

如果规则1、7被打破,也就是说支付订单是从MA上发起的,且MS在支付完成之后没有没有向支付服务器确认支付信息。

在这种情况下,攻击者可以修改MA上支付订单的信息,例如商品数目和单价等,以达到用较少的钱买更多的商品。

对于模型1,正常情况下,支付订单(order_p)由电商服务器发起,手机应用只能收到TN(签名过的交易数),它不包含任何支付相关的信息,因此攻击者无法从MA发起攻击。如果开发者在MA上发送支付请求,那么攻击者就能控制自己手机上的MA发送伪造支付订单给CS,攻击流程如下图所示:
在这里插入图片描述
对于模型2,正常情况下MS会将支付订单返回给MA,并发给SDK,由于order_p是MS签名过的,攻击者无法修改支付订单(CS会校验签名)。如果MS把签名密钥硬编码(或者误将密钥发送给MA)在MA上获取开发者压根没签名,那么攻击者就能在MA上对支付订单进行修改,并把伪造的支付信息发送给SDK。要实现该攻击,在支付完成之后,MS没有向CS核对支付信息;攻击流程如下:

在这里插入图片描述

通知伪造

如果规则2,7被打破,那么攻击者就可能伪造CS给MS发送支付完成的消息,攻击者可以不支付就能获取到商品;

在支付流程中,当用户在手机端提交订单并进入支付界面时,用户在输入密码并点击确认之前,是还没有付款的,只有用户点击确认之后,SDK才会给CS发送请求,且CS会发送支付完成的通知给MS,这时候MS就确认了订单并准备发货。如果攻击者能够伪造CS给MS发送支付完成的通知,那么攻击者就能不花钱买到商品,这需要规则2,7被打破才能实现。

正常情况下,CS发送给MS的消息都是经过签名的,攻击者修改之后MS在做校签时就会拒绝该请求。如果开发者误将签名用的密钥放在MA上或者SDK上了,那么攻击者可利用改密钥伪造签名,攻击方式如下图所示。

签名的方式一般有sha1-rsa签名和hash函数签名。有些支付框架采用对称密钥做hash来进行签名已经校验发送者的身份,如果MS的开发者泄漏了密钥,攻击者就有可能获取到密钥伪造支付完成的通知。采用rsa签名方式相比之下安全更多,应该保存在CS上的密钥不太可能泄漏。

模型1攻击:
在这里插入图片描述
模型2攻击:
在这里插入图片描述

订单替换

如果CS的SDK没有显示地提示用户支付订单详情以及SDK没有校验来自MA的消息(不遵守规则3,4)、MS和MA通信信道不安全,可被中间人攻击(不遵守规则5),那么可能导致普通用户的订单被攻击者替换成其他订单,这样造成用户为别人的订单花钱。攻击方式如下:
在这里插入图片描述
上述模型2的攻击方式表明,MS发送给MA的order_p被攻击者截获并替换成其他的订单。在模型1中,被替换的就是TN。
订单替换问题的本质是MS和MA之间的信道不安全或者说攻击者找到某种方式绕过了安全机制(签名校验、证书校验等),同时SDK的订单显示信息不够全,导致普通用户的订单被替换而没有发觉;

在订单替换的场景中,还有一种情况,就是攻击者可以伪造order_p(在模型1中对应着TN),然后CS把用户支付给MS的钱转到攻击者的账户中(攻击者也在CS注册使用了支付框架)。应为CS是根据order_p的信息来判断钱应该转给谁。

无权限查询

如果电商应用开发者将签名密钥硬编码在MA中或者泄漏了密钥,那么攻击者可以利用该密钥在CS中查询所有的订单,这种情况相对于之前几种来说严重程度较低。

漏洞检测

根据之前提出的安全规则,可以对使用了第三方支付方式的应用进行渗透测试,而测试点就包括之前所提到的7条安全规则。我们可以逆向apk分析业务代码,去寻找相关的上下文;

相关文献

本文总结自以下论文:
https://www.researchgate.net/publication/316913275_Show_Me_the_Money_Finding_Flawed_Implementations_of_Third-party_In-app_Payment_in_Android_Apps

yeshen4328
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
支付宝为例,聊聊Web安全的三个攻防姿势
hack0919的博客
05-24 365
今天我们逐个来聊聊常见的Web安全攻击!
apk攻击面_基本攻击面管理
danpu0978的博客
05-10 529
apk攻击面 为了攻击您的系统,窃取某些东西或进行其他令人讨厌的事情,坏蛋需要找到一种方法,通常也需要一种方法。 这就是“ 攻击面分析”的全部目的:映射进出系统的方式,从攻击者的角度查看系统,了解系统的哪些部分最容易受到攻击,需要集中精力进行测试和审查。 它是设计的一部分,也是风险管理的一部分。 攻击面分析在概念上很简单。 这就像在房子里走来走去,计数所有的门窗,然后检查它们是否打开或容易强...
什么是攻击面
最新发布
网络研究观
01-26 4698
攻击面是指攻击者可以利用来获得对系统、网络或数据的未经授权的访问的所有潜在入口点。
Cross Frame Scripting
huzk4409的专栏
08-07 1878
有時白箱工具會掃出Client Cross Frame Scripting Attack , 可以在 Header 中加入設定X-FRAME-OPTIONS 但是這樣有些 白箱工具並不知道, 客戶還是會要你改到 Report 看不到, 那怎麼辦呢? 這時候一般會在js中加入 if (top != self) {top.location = self.location;} ...
【转】网络安全知识:什么是攻击面管理?
tpriwwq的专栏
05-12 339
那么,攻击面管理到底是什么?就此而言,攻击面是什么?攻击面只是可能发生攻击的潜在数字门户的总和——所有可能的风险。这些可能包括电子邮件服务器、物联网 (IoT) 设备、网络设备、合作伙伴、来自威胁行为者的隐藏代码以及许多其他在线“事物”。
Iframe框架钓鱼攻击
m0_62425768的博客
11-19 503
Iframe框架钓鱼网站是指那些假扮成合法网站的虚假网站,旨在诱骗用户提供个人信息、账号密码、财务信息等敏感信息。这些网站通常会模仿知名的银行、电子支付平台、电子邮件服务提供商等机构的网站,以迷惑用户并诱使他们输入敏感信息。原理是,使用正则表达式来判断前端传过来的值是否正常,如不正常则不允以应答,如正常则向前端返回前端Iframe标签中的值。当前端传过来的值为InN时,执行doYInframe方法,可防护Iframe框架钓鱼的后端代码。在访问银行、支付平台等网站时,确保网址正确,使用书签或手动输入网址。
微信支付源码 Demo v3版本
05-12
微信支付源码Demo v3版本是一个专门为开发者设计的框架,用于快速集成微信支付功能到自己的应用程序中。这个Demo是微信支付API的最新版本,旨在帮助开发者理解和实施微信支付的整个流程,包括用户授权、订单创建、...
84PHP开源框架 v1.1.0
10-10
在安全性方面,84PHP可能也做了相应的考虑,比如防止SQL注入、XSS攻击等常见的安全问题。框架可能会提供数据过滤和验证的工具,以及安全的输入输出处理,确保应用在处理用户数据时的安全性。 此外,84PHP框架可能还...
84PHP开源框架 v2.0.0
10-02
此外,安全性的增强是每个框架升级的重要部分,84PHP v2.0.0可能包含了最新的安全补丁和防止SQL注入、XSS攻击等的安全措施。 在开发过程中,84PHP v2.0.0提供了丰富的文档支持,涵盖了从安装到高级特性的使用,帮助...
JAVA支付宝扫码支付
12-25
二维码支付是通过扫描二维码来完成支付常见于移动支付场景。首先,我们调用`createQrCode()`接口生成支付二维码的URL,然后利用第三方库(如:ZXing)将这个URL转换为二维码图像,展示给用户。用户扫描二维码后,...
84PHP开源框架 v2.2.0
09-30
框架内建了防止SQL注入、XSS攻击的防护机制,自动对输入数据进行过滤和转义,有效保障了应用的安全。同时,框架还提供了一些安全最佳实践,如防止CSRF攻击,确保用户操作的完整性。 84PHP v2.2.0版本可能包含了一...
支付项目相关框架
01-04
包含7款支付相关的框架,针对不同的应用场景可以选择不同的支付框架进行集成。可直接集成到项目中。
基于iframe的CFS(Cross Frame Script)和Clickjacking(点击劫持)攻击
虚怀若谷
12-31 6431
攻击原理:    CFS攻击(Cross Frame Script(跨框架脚本)攻击)是利用浏览器允许框架(frame)跨站包含其它页面的漏洞,在主框架的代码中加入scirpt,监视、盗取用户输入。    Clickjacking(点击劫持) 则是是一种视觉欺骗手段,在web端就是iframe嵌套一个透明不可见的页面,让用户在不知情的情况下,点击攻击者想要欺骗用户点击的位置。    CFS 和 C
Security+ 学习笔记48 攻击框架
tushanpeipei的博客
10-04 2186
一、MITRE ATT&CK 外部框架帮助我们更好地理解我们所面临的威胁环境。其中一个被广泛使用的框架是MITRE的ATT&CK框架。MITRE公司是一个非营利性的智囊团,在各种公共和私人伙伴关系中进行研究和开发。网络安全是他们的重点领域之一。 几十年来,MITRE在推动我们领域的技术水平方面一直发挥着作用。他们的研究工作之一是开发Adversarial Tactics, Techniques & Common Knowledge或ATT&CK框架。这个ATT&CK
Cross Frame Script (跨框架脚本) 攻击
04-11 6831
什么是Cross Frame Script?很简单,做个实验就知道了。把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开。IE Cross Frame Scripting Restriction Bypass Examplevar keylog=;document.onkeypress = function () {    k = window.event.keyCo
勒索软件的预防诀窍:如何减少攻击面
systemino的博客
09-02 635
SentinelOne最近发布了一份关于企业的安全报告——《了解企业中的勒索软件》,这是一份全面的企业安全指南,可帮助组织理解、计划、响应和防范这种目前普遍存在的威胁。 这篇文章就是选取了其中的部分章节,还原了一个关于如何减少攻击面的示例。 随着网络办公成为一种常态,勒索软件攻击也呈现了上升态势,事实上,勒索即服务(Raas)和其相关产业所带来的好处(低风险和丰厚回报)表明,在可预见的未来,勒索软件将继续发展,独步并变得越来越复杂。 勒索软件即服务模式是指,勒索软件编写者开发出恶意代码,并提供给其..
支付项目中如何防止请求参数被篡改
qq_35137375的博客
02-28 1569
背景:支付项目中如何防止数据被篡改?可以使用验证签名功能,如果返回false,说明数据被篡改,不应该执行后面的功能。验证签名功能也可以应用在微服务项目中,放在网关中做拦截过滤请求参数… 1.项目引入SignUtil工具类 package com.test.sign; import java.io.UnsupportedEncodingException; import java.net.UR...
go语言 四方支付源码
05-14
针对四方支付这一领域的开发需求,使用Go语言实现源码是一个较为不错的选择。相比其他编程语言,Go语言具有高效、简洁等特点,可以更好地实现高并发、低延迟等场景。下面是Go语言实现四方支付源码的一些实现思路。 首先,需要根据业务需求,设计好四方支付系统的架构。在架构设计完成后,在Go语言下实现各个功能模块。程序运行时可以使用goroutine处理并发任务,通过channel进行进程间通信。内置的轻量级Web框架gin可以快速地实现RESTful API,也可以自定义实现HTTP协议。 为了防止用户恶意篡改数据,应该引入JWT的授权认证机制。使用数据库MySQL或PostgreSQL来存储数据,同时可以通过ORM框架Gorm对数据库进行操作。 另外,四方支付系统需要与第三方支付系统进行通信,因此需要引入微信支付支付宝等支付SDK。使用resty框架发起HTTP请求,获取第三方系统返回的数据。 在保证程序性能的同时,需要考虑系统的安全性,例如SQL注入、XSS攻击等常见漏洞。可以引入防火墙、安全扫描等安全措施来提高程序的安全性。 最后,充分测试各个功能模块的正确性和性能,确保系统的稳定性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值