从高危漏洞看电商金融安全 曾裕智 1 介绍 2 金融电商安全概况 3 趋势与面临问题 4 高危漏洞剖析 5 总结 关于我 • 曾裕智 • Freebuf&漏洞盒子高级安全研究员 • 专注Web应用安全，数据库安全，APP安全 关于漏洞盒子 身份 • 国内知名互联网安全网站Freebuf.com的兄弟产品 • 互联网安全测试平台 • 第三方互联网漏洞披露平台 桥梁 • 测试人员（白帽子）<=> 厂商 • 测试人员（白帽子）<=> 相关机构 <=> 厂商 合作 • 厂商（金融，保险，电商，互联网，游戏，通信等等） • 相关机构：CNCERT，CNVD，公安部第三研究所，SERCIS 自有安全团队与外部安全专家结合，共同为厂商提供安全一体化解决方案 金融安全概况 漏洞盒子团队整理分析了大量的金融安全案例。对今年上半年上千个金融安全漏洞进行了统 计分析，状况令人堪忧。截止2015年6月底，有上百家平台遭受不同程度的黑客攻击，造成了 严重的用户信息泄露，数据库被恶意篡改，甚至是系统瘫痪等安全事故。 数据来源：漏洞盒子及相关漏洞平台 金融行业漏洞类型 证券行业漏洞统计 保险行业漏洞统计 银行行业漏洞统计 互联网金融行业漏洞统计 详情可在Freebuf.com下载 《2015金融行业互联网安全报告》 漏洞攻击趋势 • 普通漏洞--->业务逻辑漏洞（支付，金额，用户数据相关的逻辑 漏洞） • Web应用漏洞--->APP漏洞/各类API接口/微信接口漏洞 • 一次性攻击--->APT（高级持续性威胁）攻击 核心：盗取用户数据，获取金钱利益 面临问题 • 技术层面 • 来自外部的黑客攻击，非授权访问；数据库数据被非法下载，篡改等； • 管理层面 • 主要表现为人员的职责、流程有待完善，内部员工的日常操作有待规范； 研发运维缺乏安全意识带来的安全隐患等等 传统安全问题 Web2.0下安全问题 框架安全问题 • 表达式语言注入（Struts,Spring任意代码执行） 常规安全问题 • 各类系统的SQL，HQL注入漏洞 • 逻辑漏洞（越权修改信息，任意密码重置，订单 遍历，支付金额篡改） • 登录绕过（弱密码组合，万能密码，逻辑判断失 误，脆弱的验证码） 运维安全问题 • MongoDB未授权访问 • JBoss jmx-console各种Invoker war包部署 • Websphere/ WebLogic/ WebLogic/ Tomcat弱密码， 后台部署war包 • Oracle数据库各类Web组件利用 • Resin任意文件读取 • WEB-INF/web.xml可读取导致源码及敏感信息泄露 XML类型Web服务安全问题 • XXE外部实体攻击 • XML注入 • XPATH，XQUERY注入 • XML DoS拒绝服务攻击 • SSRF服务端请求伪造 REST类型Web服务安全问题 • 过度依赖SSL通信 • SESSION和认证管理缺陷 • 依赖HTTP基础认证 认证及授权安全问题 • OAuth授权实现不当 • HASH长度扩展攻击 • CBC比特反转攻击 • 基于SAML的外部实体攻击 案例：越权查看 某银行查询任意卡号余额 案例：越权修改 某著名电商越权删除其他用户收货地址漏洞 危害：通过地址ID遍历，可删除所有用户地址 案例：权限绕过 • 国内知名IT社区绕过查看订单信息 通过前端javascript限制访问 密码重置漏洞 • 暴力破解验证码 • 客户端本地验证 • 验证码直接在response中返回 • 跳过验证步骤，直接访问修改密码页面 • 篡改接收验证码手机、邮箱 • 密码修改逻辑放在前台js脚本，根据逻辑绕过修改密码 • 越权重置他人密码 • …… • 密码重置案例：某知名电商可越权修改整站用户密码 • 案例：某酒类电子商务平台APP设计缺陷可重置任意用户密码 客户端本地验证