支付平臺網站被黑客攻擊后的安全防護與漏洞修復辦法分享

時間：2020-03-12作者：青島四海通達電子科技有限公司瀏覽：989

2020春節(jié)即將來臨,收到新聚合支付平臺網站客戶的求助電話給我們Sinesafe,反映支付訂單狀態(tài)被修改由原先未支付修改為已支付,導致商戶那邊直接發(fā)貨給此訂單會員了,商戶和平臺的損失較大，很多碼商都不敢用此支付平臺了，為了防止聚合支付系統(tǒng)繼續(xù)被攻擊，我們SINE安全大體情況了解后，立即安排從業(yè)十年的安全工程師，成立聚合、通道支付平臺安全應急響應小組。

分析并了解支付過程

我們Sinesafe對整個第三方支付平臺網站的流程進行了分析如下,平臺首先要對接到上游支付通道,然后由上游支付通道返回支付狀態(tài)回調到平臺，然后由平臺的狀態(tài)返回給商戶（也就是碼商），首先碼商注冊好平臺的商家用戶,然后從商家用戶后臺獲取接口對接程序與碼商自己的網站進行對接調試，如果商家會員對訂單進行了支付,如果支付成功會回從平臺獲取支付狀態(tài),而平臺去從上游通道獲取狀態(tài)來回調到自身平臺,目前大部分的接口都是一些PDD通道以及個人二維碼對接的企業(yè)通道，俗稱為聚合支付。

支付漏洞安全原因癥狀

1.發(fā)現在碼商下的會員訂單并未成功支付導致在平臺這里的支付狀態(tài)被黑客修改為已支付,從而回調數據給商戶說明已經支付了,導致訂單是成功的狀態(tài),商家不得不發(fā)貨給會員（也就是上分給會員）從而惡意提現導致商家損失嚴重。

2.發(fā)現商戶申請?zhí)岈F這里的收款人信息被篡改，導致商戶的資金被冒領。很多碼商對這一點是非常重視的，幾乎都是日結算。而且平臺每天放量都是有數量的,幾乎都是集團下的在收量,對于資金這一塊非常敏感而重視。

3.發(fā)現有些訂單被刪除,導致對賬對不起來總是商戶結算和上游通道結算的金額不對應,導致盈利少,其實這是因為黑客把訂單刪除了而商戶的成功金額是增加的,但上游通道里的金額是不增加的。

網站漏洞安全日志檢查分析

了解上述的問題后,知道了具體的問題發(fā)生癥狀以及支付的整個流程，安排Sine安全工程師團隊小組快速響應處理找出漏洞問題關鍵,把客戶的損失降到較低，隨即登錄了支付平臺網站服務器對程序代碼做了審計和分析，發(fā)現程序用的是TP架構（thinkphp）管理后臺和**都是在一起的，對程序代碼功能函數做了對比看支付過程中的函數有無被夸權限調用，發(fā)現后臺登錄這里被做了手腳可以通過內置的函數去任意登錄不需要任何密碼，如圖：

通過get此函數admin_login_test123可以直接任意登錄后臺。發(fā)現這只是其中一點，后臺登錄后可以設置訂單的狀態(tài),但黑客的手法不是這樣操作的,因為從后臺手動改狀態(tài)的話那么在支付成功的狀態(tài)這里的數據庫表會增加一個data時間戳，而黑客篡改支付的狀態(tài)是沒有這個時間戳的，說明不是通過后臺去修改的，是通過直接執(zhí)行sql語句或直接修改數據庫才達到的，知道問題原因后分析了下程序其他文件看是否有腳本后門,果真發(fā)現了phpwebshell后門,其中有好幾個后門都是可以直接操作mysql數據庫如下：

發(fā)現程序里有不少的后門文件以及隱蔽一句話后門木馬，通過我們SINE工程師的滲透測試服務發(fā)現商戶功能圖片上傳存在漏洞可以任意上傳php格式的后門文件，導致被入侵，發(fā)現在訂單查詢功能中存在SQL注入漏洞可以進行updata較新語句去執(zhí)行數據庫修改。隨后我們立即對這3個網站漏洞進行了修復,清理了木馬后門和隱蔽后門。讓平臺開始運營3天觀察看看還有無被篡改，至此沒再發(fā)生過訂單狀態(tài)被篡改攻擊的安全問題。

第三方支付平臺網站安全防護建議

對新平臺的上線前必須要滲透測試漏洞，對sql注入進行語句嚴格定義和轉換，對上傳這里的格式進行白名單控制，對網站支付回調和通過獲取狀態(tài)嚴格做對比，如對sgin做來回匹配比對，簽名效驗看是否存在被篡改值如果被篡改直接返回數據報錯，如果對程序代碼安全問題不熟悉不專業(yè)的話建議找專業(yè)的網站安全公司來處理解決，國內做的比較不錯的如Sinesafe,鷹盾安全,綠盟,啟**辰等等都是比較大的網站安全服務商。


青島四海通達電子科技有限公司專注于服務器安全,網絡安全公司,網站安全防護,網站漏洞檢測,滲透測試,網站安全,網站漏洞掃描,網站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 網站滲透測試之嗅探流量抓包剖析

  在浩瀚的網絡中安全問題是較普遍的需求,很多想要對網站進行滲透測試服務的,來想要**網站的安全性防止被入侵被攻擊等問題,在此我們Sine安全整理了下在滲透安全測試中抓包分析以及嗅探主機服務類型,以及端口掃描等識別應用服務，來綜合評估網站安全。8.2.1. TCPDumpTCPDump是一款數據包的抓取分析工具，可以將網絡中傳送的數據包的完全截獲下來提供分析。它支持針對網絡層、協議、主機、網絡或端口的

• 網站建設與維護

  網站建設與維護網站維護是一個網站后期的工作主要內容和**部分。1、服務器軟件維護包括服務器、操作系統(tǒng)、和Internet聯接線路等等，以確保網站的24小時不間斷正常運行。2、服務器硬件維護計算機硬件在使用中常會出現一些問題，同樣，網絡設備也同樣影響企業(yè)網站的工作效率，網絡設備管理屬于技術操作，非專業(yè)人員的誤操作有可能導致整個企業(yè)網站癱瘓。沒有任何操作系統(tǒng)是**安全的。維護操作系統(tǒng)的安全必須不斷的留

• 網站快照收錄被劫持跳轉怎么辦

  作為站長，因為我們做網站經常會遇到各種各類的一些困難，比如說黑客入侵，還有就是程序出錯， bug和漏洞就會導致網站意想不到的損失。我做網站差不多將近5年了，這兩天遇到一個事情我非常難受，我問了好多**，別人也說不知道，大概意思就是說我們以前如果網站被入侵的話，一般都會劫持你的網站收錄和跳轉，他一般會搜索關鍵詞，然后點擊你的網站，然后跳轉到其他的網站頁面，還有很明顯的就是說你的百度快照標題跟描述都被

• 該怎么學web滲透？

  先了解一下為什么需要滲透當我們談論安全時，我們較常聽到的詞是 漏洞。當我**次開始做安全員時，我經常對漏洞這個詞感到困惑，我相信你們中的許多人和我的讀者都會陷入困境。為了所有讀者的利益，我將首先澄清漏洞與筆試的區(qū)別。那么，什么是漏洞呢？漏洞是用來識別系統(tǒng)中可能受到安全威脅的缺陷的術語。漏洞掃描漏洞掃描使用戶能夠找出應用程序中已知的弱點，并定義修復和提高應用程序整體安全性的方法。它基本上可以確定安全