聚合支付平臺網(wǎng)站安全漏洞防護(hù) 防止訂單數(shù)據(jù)被篡改

時間：2020-03-12作者：青島四海通達(dá)電子科技有限公司瀏覽：999

2020春節(jié)即將來臨,收到新第三方支付平臺網(wǎng)站客戶的安全漏洞問題的求助電話給我們Sinesafe的BOSS,反映支付訂單狀態(tài)被修改由原先未支付修改為已支付,導(dǎo)致商戶那邊直接發(fā)貨給此訂單會員了,商戶和平臺的利益收到很大的影響，很多碼商都不敢用此支付平臺合作了，大體情況了解后我們立即安排成立支付平臺安全應(yīng)急小組。

分析并了解支付過程

我們Sinesafe對整個第三方支付平臺網(wǎng)站的流程進(jìn)行了分析如下,平臺首先要對接到上游支付通道,然后由上游支付通道返回支付狀態(tài)回調(diào)到平臺，然后由平臺的狀態(tài)返回給商戶（也就是碼商），首先碼商注冊好平臺的商家用戶,然后從商家用戶后臺獲取接口對接程序與碼商自己的網(wǎng)站進(jìn)行對接調(diào)試，如果商家會員對訂單進(jìn)行了支付,如果支付成功會回從平臺獲取支付狀態(tài),而平臺去從上游通道獲取狀態(tài)來回調(diào)到自身平臺,目前大部分的接口都是一些PDD通道以及個人二維碼對接的企業(yè)通道，俗稱為聚合支付。

支付漏洞安全原因癥狀

1.發(fā)現(xiàn)在碼商下的會員訂單并未成功支付導(dǎo)致在平臺這里的支付狀態(tài)被黑客修改為已支付,從而回調(diào)數(shù)據(jù)給商戶說明已經(jīng)支付了,導(dǎo)致訂單是成功的狀態(tài),商家不得不發(fā)貨給會員（也就是上分給會員）從而惡意提現(xiàn)導(dǎo)致商家損失嚴(yán)重。

2.發(fā)現(xiàn)商戶申請?zhí)岈F(xiàn)這里的收款人信息被篡改，導(dǎo)致商戶的資金被冒領(lǐng)。很多碼商對這一點是非常重視的，幾乎都是日結(jié)算。而且平臺每天放量都是有數(shù)量的,幾乎都是集團(tuán)下的在收量,對于資金這一塊非常敏感而重視。

3.發(fā)現(xiàn)有些訂單被刪除,導(dǎo)致對賬對不起來總是商戶結(jié)算和上游通道結(jié)算的金額不對應(yīng),導(dǎo)致盈利少,其實這是因為黑客把訂單刪除了而商戶的成功金額是增加的,但上游通道里的金額是不增加的。

網(wǎng)站漏洞安全日志檢查分析

了解上述的問題后,知道了具體的問題發(fā)生癥狀以及支付的整個流程，安排Sine安全工程師團(tuán)隊小組快速響應(yīng)處理找出漏洞問題關(guān)鍵,把客戶的損失降到較低，隨即登錄了支付平臺網(wǎng)站服務(wù)器對程序代碼做了審計和分析，發(fā)現(xiàn)程序用的是TP架構(gòu)（thinkphp）管理后臺和**都是在一起的，對程序代碼功能函數(shù)做了對比看支付過程中的函數(shù)有無被夸權(quán)限調(diào)用，發(fā)現(xiàn)后臺登錄這里被做了手腳可以通過內(nèi)置的函數(shù)去任意登錄不需要任何密碼，如圖：

通過get此函數(shù)admin_login_test123可以直接任意登錄后臺。

發(fā)現(xiàn)這只是其中一點，后臺登錄后可以設(shè)置訂單的狀態(tài),但黑客的手法不是這樣操作的,因為從后臺手動改狀態(tài)的話那么在支付成功的狀態(tài)這里的數(shù)據(jù)庫表會增加一個data時間戳，而黑客篡改支付的狀態(tài)是沒有這個時間戳的，說明不是通過后臺去修改的，是通過直接執(zhí)行sql語句或直接修改數(shù)據(jù)庫才達(dá)到的，知道問題原因后分析了下程序其他文件看是否有腳本后門,果真發(fā)現(xiàn)了phpwebshell后門,其中有好幾個后門都是可以直接操作mysql數(shù)據(jù)庫如下：

發(fā)現(xiàn)程序里有不少的后門文件以及隱蔽一句話后門木馬，通過我們SINESAFE工程師的安全滲透測試發(fā)現(xiàn)商戶功能圖片上傳存在漏洞可以任意上傳php格式的后門文件，導(dǎo)致被入侵，發(fā)現(xiàn)在訂單查詢功能中存在SQL注入漏洞可以進(jìn)行updata較新語句去執(zhí)行數(shù)據(jù)庫修改。隨后我們立即對這3個漏洞進(jìn)行了修復(fù),清理了木馬后門和隱蔽后門。讓平臺開始運營2天觀察看看還有無被篡改，至此沒再發(fā)生過訂單狀態(tài)被篡改的安全問題。

第三方支付平臺網(wǎng)站安全防護(hù)建議

對新平臺的上線前必須要滲透測試漏洞，對sql注入進(jìn)行語句嚴(yán)格定義和轉(zhuǎn)換，對上傳這里的格式進(jìn)行白名單控制，對網(wǎng)站支付回調(diào)和通過獲取狀態(tài)嚴(yán)格做對比，如對sgin做來回匹配比對，簽名效驗看是否存在被篡改值如果被篡改直接返回數(shù)據(jù)報錯，如果對程序代碼安全問題不熟悉不專業(yè)的話建議找專業(yè)的網(wǎng)站安全公司來處理解決，國內(nèi)做的比較不錯的如Sinesafe,鷹盾安全,綠盟,啟**辰等等都是比較大的網(wǎng)站安全服務(wù)商。


青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 網(wǎng)站漏洞掃描：常見安全漏洞及防御方法

  網(wǎng)站漏洞掃描：常見安全漏洞及防御方法目前，基于PHP的網(wǎng)站開發(fā)已經(jīng)成為目前網(wǎng)站開發(fā)的主流，小編從PHP網(wǎng)站攻擊與安全防范方面進(jìn)行探究，旨在減少網(wǎng)站漏洞，希望對大家有所幫助!一、常見PHP網(wǎng)站安全漏洞對于PHP的漏洞，目前常見的漏洞有五種。分別是Session文件漏洞、SQL注入漏洞、腳本命令執(zhí)行漏洞、全局變量漏洞和文件漏洞。這里分別對這些漏洞進(jìn)行簡要的介紹。1、session文件漏洞Session

• WEB滲透流程詳解

  滲透是指滲透人員通過模擬惡意黑客的攻擊方法，從內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)等位置使用各種方法特定網(wǎng)絡(luò)，發(fā)現(xiàn)和挖掘系統(tǒng)中的漏洞或技術(shù)缺陷，然后輸出滲透報告并提交給客戶。這樣，客戶就可以清楚地了解網(wǎng)絡(luò)系統(tǒng)中的安全風(fēng)險和問題，并根據(jù)滲透人員提供的滲透報告。滲透服務(wù)的一般流程分為六個步驟：1.明確目標(biāo)2.信息收集3.漏洞探測4.漏洞驗證5.漏洞攻擊：利用漏洞，獲取數(shù)據(jù)，后滲透6.輸出信息整理和滲透報告第一步:明確目

• 網(wǎng)站防黑客攻擊的堡壘機用法

  堡壘機是一個提供服務(wù)器和網(wǎng)絡(luò)安全控制的系統(tǒng)，可以實現(xiàn)對4A運行資源的全面安全控制。本系統(tǒng)包含了用戶管理、資源管理、策略、審核和工單等功能模塊，支持安全控制和保護(hù)一些常用的服務(wù)器主機以及一些環(huán)境。該系統(tǒng)是集統(tǒng)一資產(chǎn)管理和單點登錄、多終端訪問協(xié)議、文件傳輸功能于一體的運行安全管理和審計產(chǎn)品。堡壘機提供云計算安全管理系統(tǒng)和組件，統(tǒng)一傳送登錄入口，實現(xiàn)**運輸和審計安全管理功能，滿足安全合規(guī)審查要求，為用

• 網(wǎng)站滲透測試服務(wù)怎么選擇價格實惠的公司

  從國內(nèi)企業(yè)安全市場需求的角度來看，滲透測試服務(wù)也很受歡迎，國內(nèi)大型安全制造商只有滲透測試單一服務(wù)收入**過2億元。為什么企業(yè)會購買滲透測試服務(wù)？原因來自滲透測試服務(wù)本身的特點：攻擊者視角、過程可復(fù)制、漏洞定位準(zhǔn)確、危害效果好。讓我們來看看滲透測試模式的發(fā)展和變化：一個人的戰(zhàn)斗，背靠背的雙重防御戰(zhàn)，攻防小組團(tuán)隊合作戰(zhàn)，一**海嘯戰(zhàn)。首先，一**海嘯戰(zhàn)爭實際上是目前流行的公開測試模式。公測可分為三類：1