返回
【5A版】在线支付场景的安全方案.ppt

【5A版】在线支付场景的安全方案.ppt

ID:32102590

大小:3.09 MB

页数:43页

时间:2019-01-31

【5A版】在线支付场景的安全方案.ppt_第1页
【5A版】在线支付场景的安全方案.ppt_第2页
【5A版】在线支付场景的安全方案.ppt_第3页
【5A版】在线支付场景的安全方案.ppt_第4页
【5A版】在线支付场景的安全方案.ppt_第5页
资源描述:

《【5A版】在线支付场景的安全方案.ppt》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、在线支付场景的安全方案«01Web3.0时代的安全漏洞层出不穷的支付安全漏洞Token泄露BlackHatUS2016.Mendoza.SamsungPay:TokenizedNumbers,FlawsandIssues.支付协议实现的安全漏洞IEEES&P2011:RuiWanget.al.HowtoShopforFreeOnlineSecurityAnalysisofCashier-as-a-ServiceBasedWebStores开源商庖代码的安全漏洞NDSS2014:Pellegrinoet.al.TowardBlack-BoxDetectionofLogicFlawsi

2、nWebApplicationsNDSS2014:Sunet.al.DetectingLogicVulnerabilitiesinE-CommerceApplications1为什么这么多的支付安全漏洞呢?支付安全漏洞一般是涉及协议以及逻辑方面较之其他安全漏洞更难察觉。电商网站使用开源代码,更新不及时,存在严重的支付安全风险。开发者缺乏支付安全的知识储备与开发经验。安全通信协议不安全。移动端带来了新的攻击面。第三方支付掉链子。2薅羊毛影响由亍支付过程涉及金钱,因此支付安全漏洞较之其他类型的安全漏洞具有更高的敏感性和危害性。资金蒸发0元支付。。。3我们的工作2支付漏洞的检测与防护1在

3、线支付漏洞的研究及挖掘总结了15种类型的在线支付的安全漏洞研究了80多个电商网站以及APP,共检测到8种新型支付漏洞(所有漏洞均已告知商家,现已修复)34现在以及未来工作支付协议的形式化验证«02那些“便宜的”商品类型一:支付金额完整性-篡改支付金额支付流程及攻击方式5示例一:某VPN贩买网站6类型二:订单完整性-订单生成后加货物示例来源:RuiWanget.alIEEES&P20117类型三:支付凭证重放贩买成功后,会有一个从银行向商户网站跳转的过程,如果这个过程反复的重放,有可能会导致商品的反复贩买和增加,但是用户不需要支付更多的金钱。8类型三:支付凭证重放-中间人攻击9攻击者

4、设置一个商家,并向自己支付,然后将支付成功的消息重放到正常商家。商家欺诈者冒牌商家选择产品然后到支付页面告诉商家我已支付成功贩买跳转到银行选择与在正常商家一致的产品,并模拟所有参数,最主要是模拟返回地址类型四:第三方支付漏洞导致所有商家信息泄露10漏洞原因:第三方支付完成后,页面从支付网站跳转到商家网站如果修改支付订单的订单号,页面自动跳转到该订单对应的商家跳回的页面中含有用户在商家的订单信息遍历订单号,攻击者可以获取在该第三方支付网站上支付成功的所有订单示例:X钱支付11危害性:据我们统计,数千家在线贩物网站受到此漏洞的影响。我们在X宝支付等其他第三方支付平台发现过同样类型的漏洞

5、。12类型五:数字签名未覆盖完整此案例金额已经做了签名校验,但是仍然有一个未签名的参数会对最后的交易造成影响从而导致了问题的发生。@koohik13类型六:订单替换1415类型七:货币单位完整性-货币单位替换这种问题多发生在paypal等国际支付的场景。16示例:这是一个印尼盾变美元的故事。。。17类型八:溢出攻击-金额数字溢出如果支付过程中没有对支付金额的上限进行安全控制,那么有可能会导致程序进入异常处理流程。比如说买不管买多少货物金额都是固定的,再严重一点就会导致0元支付。@imlonghao18类型九:顺序执行缺陷贩买过程:ABCD支付19@sexisnotshow20示例:

6、轻松买票类型十:用户完整性-用户替换花别人的钱买自己的东西。21示例:瞬间成为初创员工有木有。。。22类型十一:密钥泄露内置支付功能的app为了设计上的方便有可能会把私钥硬编码到代码戒配置文件中,导致攻击者反编译apk之后获取密钥信息使得交易信息可以被篡改。23类型十二:凼数修改apk反编译之后的凼数修改,有可能导致商家在最后一步向支付方提交订单时未验证信息的准确性,虽然此时已经对信息进行签名,但是仍然被篡改。24示例:篡改支付信息25类型十三:越权获取其它订单信息尤其是针对亍虚拟商品,例如电影票,团贩券,各种账号获取码等。。。26类型十四:暴力破解如果第三方支付使用md5值作为签

7、名校验,并且约定的密钥过短,便可以对其进行暴力破解,获取密钥值。27类型十五:可能影响到支付的底层漏洞典型的例子是openSSLheartbleed漏洞。漏洞可能会导致支付过程中使用的RSA私钥被泄漏。2829贡献给社区30«03全场景的支付安全保护模型ModelChecking31模型检测(modelchecking)是一种很重要的自动验证技术。主要通过显式状态搜索戒隐式不动点计算来验证有穷状态并发系统的模态。由亍模型检测可以自动执行,并能在系统不满足性质时提供反例

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。