聚合支付平臺(tái)網(wǎng)站安全漏洞防護(hù) 防止訂單數(shù)據(jù)被篡改

時(shí)間：2020-03-12作者：青島四海通達(dá)電子科技有限公司瀏覽：917

2020春節(jié)即將來(lái)臨,收到新第三方支付平臺(tái)網(wǎng)站客戶(hù)的安全漏洞問(wèn)題的求助電話給我們Sinesafe的BOSS,反映支付訂單狀態(tài)被修改由原先未支付修改為已支付,導(dǎo)致商戶(hù)那邊直接發(fā)貨給此訂單會(huì)員了,商戶(hù)和平臺(tái)的利益收到很大的影響，很多碼商都不敢用此支付平臺(tái)合作了，大體情況了解后我們立即安排成立支付平臺(tái)安全應(yīng)急小組。

分析并了解支付過(guò)程

我們Sinesafe對(duì)整個(gè)第三方支付平臺(tái)網(wǎng)站的流程進(jìn)行了分析如下,平臺(tái)首先要對(duì)接到上游支付通道,然后由上游支付通道返回支付狀態(tài)回調(diào)到平臺(tái)，然后由平臺(tái)的狀態(tài)返回給商戶(hù)（也就是碼商），首先碼商注冊(cè)好平臺(tái)的商家用戶(hù),然后從商家用戶(hù)后臺(tái)獲取接口對(duì)接程序與碼商自己的網(wǎng)站進(jìn)行對(duì)接調(diào)試，如果商家會(huì)員對(duì)訂單進(jìn)行了支付,如果支付成功會(huì)回從平臺(tái)獲取支付狀態(tài),而平臺(tái)去從上游通道獲取狀態(tài)來(lái)回調(diào)到自身平臺(tái),目前大部分的接口都是一些PDD通道以及個(gè)人二維碼對(duì)接的企業(yè)通道，俗稱(chēng)為聚合支付。

支付漏洞安全原因癥狀

1.發(fā)現(xiàn)在碼商下的會(huì)員訂單并未成功支付導(dǎo)致在平臺(tái)這里的支付狀態(tài)被黑客修改為已支付,從而回調(diào)數(shù)據(jù)給商戶(hù)說(shuō)明已經(jīng)支付了,導(dǎo)致訂單是成功的狀態(tài),商家不得不發(fā)貨給會(huì)員（也就是上分給會(huì)員）從而惡意提現(xiàn)導(dǎo)致商家損失嚴(yán)重。

2.發(fā)現(xiàn)商戶(hù)申請(qǐng)?zhí)岈F(xiàn)這里的收款人信息被篡改，導(dǎo)致商戶(hù)的資金被冒領(lǐng)。很多碼商對(duì)這一點(diǎn)是非常重視的，幾乎都是日結(jié)算。而且平臺(tái)每天放量都是有數(shù)量的,幾乎都是集團(tuán)下的在收量,對(duì)于資金這一塊非常敏感而重視。

3.發(fā)現(xiàn)有些訂單被刪除,導(dǎo)致對(duì)賬對(duì)不起來(lái)總是商戶(hù)結(jié)算和上游通道結(jié)算的金額不對(duì)應(yīng),導(dǎo)致盈利少,其實(shí)這是因?yàn)楹诳桶延唵蝿h除了而商戶(hù)的成功金額是增加的,但上游通道里的金額是不增加的。

網(wǎng)站漏洞安全日志檢查分析

了解上述的問(wèn)題后,知道了具體的問(wèn)題發(fā)生癥狀以及支付的整個(gè)流程，安排Sine安全工程師團(tuán)隊(duì)小組快速響應(yīng)處理找出漏洞問(wèn)題關(guān)鍵,把客戶(hù)的損失降到較低，隨即登錄了支付平臺(tái)網(wǎng)站服務(wù)器對(duì)程序代碼做了審計(jì)和分析，發(fā)現(xiàn)程序用的是TP架構(gòu)（thinkphp）管理后臺(tái)和**都是在一起的，對(duì)程序代碼功能函數(shù)做了對(duì)比看支付過(guò)程中的函數(shù)有無(wú)被夸權(quán)限調(diào)用，發(fā)現(xiàn)后臺(tái)登錄這里被做了手腳可以通過(guò)內(nèi)置的函數(shù)去任意登錄不需要任何密碼，如圖：

通過(guò)get此函數(shù)admin_login_test123可以直接任意登錄后臺(tái)。

發(fā)現(xiàn)這只是其中一點(diǎn)，后臺(tái)登錄后可以設(shè)置訂單的狀態(tài),但黑客的手法不是這樣操作的,因?yàn)閺暮笈_(tái)手動(dòng)改狀態(tài)的話那么在支付成功的狀態(tài)這里的數(shù)據(jù)庫(kù)表會(huì)增加一個(gè)data時(shí)間戳，而黑客篡改支付的狀態(tài)是沒(méi)有這個(gè)時(shí)間戳的，說(shuō)明不是通過(guò)后臺(tái)去修改的，是通過(guò)直接執(zhí)行sql語(yǔ)句或直接修改數(shù)據(jù)庫(kù)才達(dá)到的，知道問(wèn)題原因后分析了下程序其他文件看是否有腳本后門(mén),果真發(fā)現(xiàn)了phpwebshell后門(mén),其中有好幾個(gè)后門(mén)都是可以直接操作mysql數(shù)據(jù)庫(kù)如下：

發(fā)現(xiàn)程序里有不少的后門(mén)文件以及隱蔽一句話后門(mén)木馬，通過(guò)我們SINESAFE工程師的安全滲透測(cè)試發(fā)現(xiàn)商戶(hù)功能圖片上傳存在漏洞可以任意上傳php格式的后門(mén)文件，導(dǎo)致被入侵，發(fā)現(xiàn)在訂單查詢(xún)功能中存在SQL注入漏洞可以進(jìn)行updata較新語(yǔ)句去執(zhí)行數(shù)據(jù)庫(kù)修改。隨后我們立即對(duì)這3個(gè)漏洞進(jìn)行了修復(fù),清理了木馬后門(mén)和隱蔽后門(mén)。讓平臺(tái)開(kāi)始運(yùn)營(yíng)2天觀察看看還有無(wú)被篡改，至此沒(méi)再發(fā)生過(guò)訂單狀態(tài)被篡改的安全問(wèn)題。

第三方支付平臺(tái)網(wǎng)站安全防護(hù)建議

對(duì)新平臺(tái)的上線前必須要滲透測(cè)試漏洞，對(duì)sql注入進(jìn)行語(yǔ)句嚴(yán)格定義和轉(zhuǎn)換，對(duì)上傳這里的格式進(jìn)行白名單控制，對(duì)網(wǎng)站支付回調(diào)和通過(guò)獲取狀態(tài)嚴(yán)格做對(duì)比，如對(duì)sgin做來(lái)回匹配比對(duì)，簽名效驗(yàn)看是否存在被篡改值如果被篡改直接返回?cái)?shù)據(jù)報(bào)錯(cuò)，如果對(duì)程序代碼安全問(wèn)題不熟悉不專(zhuān)業(yè)的話建議找專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)處理解決，國(guó)內(nèi)做的比較不錯(cuò)的如Sinesafe,鷹盾安全,綠盟,啟**辰等等都是比較大的網(wǎng)站安全服務(wù)商。


青島四海通達(dá)電子科技有限公司專(zhuān)注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測(cè),滲透測(cè)試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測(cè)等, 歡迎致電 13280888826

• 詞條

  詞條說(shuō)明

• 有哪些措施可以**網(wǎng)站安全

  為了**網(wǎng)站的安全，可以采取以下措施：安全意識(shí)教育：加強(qiáng)對(duì)企業(yè)員工的安全意識(shí)教育，使員工了解安全風(fēng)險(xiǎn)，掌握基本的安全知識(shí)，以便較好地防范安全漏洞。安全策略制定：制定切實(shí)可行的網(wǎng)絡(luò)安全策略，包括密碼強(qiáng)度要求、安全訪問(wèn)控制、數(shù)據(jù)備份等，確保網(wǎng)站的基本安全。安全軟件使用：選擇安全軟件，如防病毒軟件、*墻、安全加密等，加強(qiáng)對(duì)網(wǎng)站的保護(hù)，防止攻擊和病毒感染。漏洞掃描：定期進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)網(wǎng)站存在的安

• 網(wǎng)站被CC攻擊該怎么處理 盡快恢復(fù)網(wǎng)站的正常訪問(wèn)

  公司的官方網(wǎng)站從春節(jié)前無(wú)緣無(wú)故就出現(xiàn)連接數(shù)據(jù)庫(kù)異常的現(xiàn)象，由于以前也出現(xiàn)過(guò)，再加上沒(méi)多久逢年過(guò)節(jié)，也就沒(méi)有太在乎這個(gè)情況，僅僅試著重新啟動(dòng)了網(wǎng)站數(shù)據(jù)庫(kù)。逢年過(guò)節(jié)的時(shí)候我發(fā)現(xiàn)了有一些不太對(duì)，網(wǎng)站數(shù)據(jù)庫(kù)只有一打開(kāi)沒(méi)多久就宕掉。檢查服務(wù)器里的資源，發(fā)現(xiàn)服務(wù)器的內(nèi)存被占滿(mǎn)，CPU達(dá)到百分之100就連遠(yuǎn)程連接都越來(lái)越巨慢至較，因此開(kāi)展對(duì)該網(wǎng)站被攻擊的問(wèn)題解決。一開(kāi)始感覺(jué)是因?yàn)锳pache占有網(wǎng)絡(luò)資源，以及C

• 網(wǎng)站被黑該如何檢查攻擊來(lái)源以及被篡改數(shù)據(jù)的痕跡

  很對(duì)客戶(hù)網(wǎng)站以及服務(wù)器被攻擊，被黑后，留下了很多webshell文件，也叫網(wǎng)站木馬文件，客戶(hù)對(duì)自己網(wǎng)站的安全也是很擔(dān)憂(yōu)，擔(dān)心網(wǎng)站后期會(huì)繼續(xù)被攻擊篡改，畢竟沒(méi)有專(zhuān)業(yè)的安全技術(shù)去負(fù)責(zé)網(wǎng)站的安全防護(hù)工作，通過(guò)老客戶(hù)的介紹很多客戶(hù)在遇到網(wǎng)站被攻擊后找到我們SINE安全做網(wǎng)站的安全服務(wù)，防止惡意攻擊與篡改。對(duì)網(wǎng)站進(jìn)行全面的防御與加固，我們?cè)趯?duì)客戶(hù)網(wǎng)站進(jìn)行安全部署的同時(shí)，客戶(hù)經(jīng)常會(huì)想要了解到底網(wǎng)站，以及服務(wù)器

• 企業(yè)網(wǎng)站被黑客攻擊怎么處理解決

  好多企業(yè)網(wǎng)站遭遇黑客攻擊，像黑客入侵在互聯(lián)網(wǎng)只要有數(shù)據(jù)網(wǎng)絡(luò)，就能使用數(shù)據(jù)網(wǎng)絡(luò)遠(yuǎn)程操作目標(biāo)的筆記本電腦、網(wǎng)絡(luò)服務(wù)器、企業(yè)網(wǎng)站，從而任意地讀取或篡改目標(biāo)的重要數(shù)據(jù)，又又或者使用目標(biāo)系統(tǒng)軟件上的功能模塊，比如對(duì)手機(jī)的麥克風(fēng)開(kāi)展監(jiān)聽(tīng)，開(kāi)啟對(duì)方攝像頭開(kāi)展監(jiān)控，使用已經(jīng)被入侵的設(shè)備計(jì)算能力開(kāi)展挖礦從而得到虛擬貨幣，使用目標(biāo)設(shè)備的網(wǎng)絡(luò)帶寬能力發(fā)動(dòng)CC并發(fā)攻擊方式其他人等等。又或者是破解了一個(gè)數(shù)據(jù)庫(kù)服務(wù)器的密碼，