Hey , 你的钱包掉了 ——创业公司支付安全浅析 荣文佳 Mystery About me 荣文佳 – Mystery 5年信息安全从业经验 中国传媒大学数字媒体技术专业 独立传媒工作室 403ART 平安科技信息安全及内控部银河实验室信息安全研究员 火狐技术联盟[F.S.T]成员 常见支付路径对比 支付场景和入口多样 支付应用常见安全风险 支付安全是如何影响一家企业的？ “快操盘”事件 基础设施安全 初型创业公司安全通病 • 只要功能看上去没问题，代码是否严谨无所谓 • 先把产品做出来，安全问题等用户量上去了再做 • 每个人都有权限操作线上服务器 ……………………………… 一个常见的支付流程能出多大的安全问题？ 常见支付流程图 用户 3rd 支付 商户 点击购买 创建订单 APP内部拼接数据 发起购买行为 透传参数并签名 TOKEN 创建支付URL 返回URL 进入支付页面 渲染支付相关信息 确认支付 Success Notification Success 零号线支付系统源码泄漏 漏洞编号：vulbox-2015-08631 http://pay.line0.com/pay.zip 某洗衣O2O APP充值漏洞 充1000送50活动 到账1050 实际扣款0.01元 钱都哪儿去了？ 某洗衣O2O APP充值漏洞 Step 1:生成订单 Step 2:订单和金 额发送到支付接 口 某音乐网站支付漏洞 开通该网站黄金会员时的数据包 POST /Pay/alipay.html HTTP/1.1 Host: www.*****.com Content-Length: 143 ……………………省略…………………… Cookie: PHPSESSID=8cjq8t1u26pd80qfshker5b5b3; price=96&out_trade_no=G4203153635756d&body=%E9%BB%84%E9%87%91VIP%2812%29 %E6%9C%88&subject=VIP%E5%85%85%E5%80%BC&type=gold&time=12&pay_uid=21663 支付金额 price=96 开通时长 time=12 订单号码 out_trade_no=G4203153635756d 某音乐平台支付漏洞 会员充值、虚拟币充值 打赏后可提现 常见安全风险点 total_fee # 价钱 seller_account_name # 商家账号 notify_url # 支付成功的通知将异步发送到此地址 常见风险点 - total_fee ü 签名后提交到支付接口的数据不可篡改，但未签名之前的数据包易 出现风险 ü 对异常价格数据的处理，例如负数 ü 价格用户端可控 常见风险点 - seller_account_name ü 能以ID形式出现就不要使用邮箱 ü 强密码专人收取 ü 定期修改密码 常见风险点 - notify_url ü notify_url ≠ callback_url 不应该对用户暴露 ü 尽量使用对账系统规避风险