摘要：驗(yàn)證碼安全參考信息重放登錄注冊(cè)找密等入口，可能通過(guò)短信驗(yàn)證碼郵箱驗(yàn)證碼之類(lèi)的進(jìn)行確認(rèn)操作，如果末對(duì)操作進(jìn)行次數(shù)及頻率上的限制，則會(huì)產(chǎn)生大量的重放攻擊。高并發(fā)缺陷交易類(lèi)重放攻擊，高并發(fā)的情況下末對(duì)用戶操作行為加鎖，導(dǎo)致購(gòu)買(mǎi)限制的繞過(guò)。

業(yè)務(wù)安全從流程設(shè)計(jì)維度可劃分為賬戶體系安全、交易體系安全、支付體系安全、用戶信息存儲(chǔ)安全。后者對(duì)普通用戶而言基本屬于透明狀態(tài)，對(duì)于電商/互聯(lián)網(wǎng)金融/社交媒體更多面臨的業(yè)務(wù)安全風(fēng)險(xiǎn)集中在賬戶/交易/支付三個(gè)維度內(nèi)。
?

賬戶體系安全在具體的業(yè)務(wù)細(xì)分中，最直接的業(yè)務(wù)體現(xiàn)則為注冊(cè)、登錄、找密三個(gè)主要入口。針對(duì)黑產(chǎn)或灰產(chǎn)抑或“羊毛黨”的技術(shù)面分析主要有以下攻擊、薅羊毛行為。

垃圾注冊(cè)主要指通過(guò)程序或者純?nèi)肆Υ罅孔?cè)的非活越賬號(hào)，這些賬號(hào)不能直接給平臺(tái)帶來(lái)收益確在一定程度上提升運(yùn)營(yíng)成本。賬號(hào)本身可能給注冊(cè)行為人帶去部份收益。P2P金融行業(yè)在注冊(cè)投資回報(bào)現(xiàn)金時(shí)，經(jīng)常會(huì)出現(xiàn)這類(lèi)垃圾注冊(cè)；電商行業(yè)主要用于虛假刷單；社交媒體則面臨面臨垃圾注冊(cè)用于發(fā)送垃圾消息。

撞庫(kù)風(fēng)險(xiǎn)在登錄、注冊(cè)、找密等普遍存在，目前“黑產(chǎn)”主要通過(guò)大量泄漏的用戶數(shù)據(jù)，在這些潛在風(fēng)險(xiǎn)的地方，進(jìn)行賬號(hào)檢存操作，然后通過(guò)存在的賬號(hào)測(cè)試對(duì)應(yīng)密碼檢存；或者尋找無(wú)任何防御的登錄口進(jìn)行撞庫(kù)。

這類(lèi)風(fēng)險(xiǎn)就不做多過(guò)多描述，攻擊手法略多。

驗(yàn)證碼在設(shè)計(jì)之初即為區(qū)分人與機(jī)器，在各類(lèi)應(yīng)用中廣泛使用用于防護(hù)自動(dòng)化攻擊。但目前基于圖形驗(yàn)證碼安全的防護(hù)手段已基本不再屬于黑產(chǎn)的障礙，眾多的OCR產(chǎn)品以及更為通用的人工碼平臺(tái)，降成本高效率作業(yè)。對(duì)于有些網(wǎng)站僅采用手機(jī)驗(yàn)證碼認(rèn)證作為區(qū)分正常用戶與“異?！庇脩?，國(guó)內(nèi)也已有非常成熟的“貓池”設(shè)備，提供在線手機(jī)打碼測(cè)試。對(duì)于團(tuán)購(gòu)類(lèi)、快車(chē)等平臺(tái)，手機(jī)小號(hào)注冊(cè)可直接獲取巨大利益回報(bào)。舉例：某團(tuán)購(gòu)平臺(tái)，對(duì)于普通用戶購(gòu)買(mǎi)某火鍋優(yōu)惠券需要79元，新用戶優(yōu)惠價(jià)格只需要49元。該平臺(tái)對(duì)于業(yè)務(wù)風(fēng)控做了設(shè)備指紋操作，但依然可以通過(guò)模擬器用“手機(jī)碼”平臺(tái)進(jìn)行下單操作。除掉小號(hào)成本5塊，回報(bào)還是挺誘惑的。驗(yàn)證碼安全參考

登錄/注冊(cè)/找密等入口，可能通過(guò)短信驗(yàn)證碼、郵箱驗(yàn)證碼之類(lèi)的進(jìn)行確認(rèn)操作，如果末對(duì)操作進(jìn)行次數(shù)及頻率上的限制，則會(huì)產(chǎn)生大量的重放攻擊。另外，對(duì)于驗(yàn)證邏輯缺陷類(lèi)的，例如session末及時(shí)刪除，可能導(dǎo)致驗(yàn)證碼被重放，繞過(guò)一些人機(jī)基礎(chǔ)防護(hù)等。

找密/改密設(shè)計(jì)在驗(yàn)證邏輯上極易產(chǎn)生各種問(wèn)題，找密密鑰的可預(yù)測(cè)性，找密邏輯缺陷可直接修改收信郵箱，賬號(hào)檢存。改密通過(guò)id進(jìn)行可能修改他人的密碼，批量重置等等。從業(yè)務(wù)層考慮還有找回他人的密碼導(dǎo)致財(cái)產(chǎn)損失。具體舉例：有些產(chǎn)品從用戶角度思考，提供更人性化的找密服務(wù)，會(huì)根據(jù)不同場(chǎng)景出現(xiàn)不同的找密方式，在末嚴(yán)格驗(yàn)證身份的情況下或設(shè)備指紋不可靠等，極有可能導(dǎo)致客戶賬號(hào)被攻擊。

業(yè)務(wù)層的信息泄漏，主要指服務(wù)自身的一些運(yùn)營(yíng)敏感數(shù)據(jù)泄漏。比如客戶交易的cvv碼，用戶賬號(hào)、密碼、郵箱等。在賬號(hào)體系中，該類(lèi)泄漏非常常見(jiàn)，例如用某第三方開(kāi)發(fā)的P2P程序，在登錄時(shí)用戶賬號(hào)存在的情況下，直接ajax返回該用戶的密碼密文、手機(jī)號(hào)、郵箱等等信息。攻擊者可能通過(guò)這些接口大量獲取敏感信息。

交易體系安全主要在電商、金融類(lèi)發(fā)生實(shí)際交易的場(chǎng)景下出現(xiàn)，“羊毛黨”或者問(wèn)題商家在交易體系中，存在大量虛擬交易，信息作弊及各類(lèi)針對(duì)活動(dòng)場(chǎng)景的攻擊。

刷庫(kù)存在電商類(lèi)網(wǎng)站普遍存在，屬于一種業(yè)務(wù)勒索型攻擊。攻擊者通過(guò)大量購(gòu)買(mǎi)庫(kù)存產(chǎn)品，但不發(fā)生實(shí)際支付行為，讓正常用戶無(wú)法正常購(gòu)買(mǎi)。通過(guò)相對(duì)較成本低的價(jià)格帶動(dòng)數(shù)據(jù)增長(zhǎng)的新商戶而言，遭遇該類(lèi)勒索型攻擊較為常見(jiàn)。

業(yè)務(wù)數(shù)據(jù)造假，這種已形成比較成熟的產(chǎn)業(yè)鏈，目前玩法較多。對(duì)于驗(yàn)證真實(shí)快遞單號(hào)的電商站，隨便都能相互買(mǎi)到這類(lèi)單號(hào)。

電商類(lèi)網(wǎng)站在“雙十一”之類(lèi)的各種特殊節(jié)日，會(huì)推出大量的游戲送抵用券，送紅包、送流量、送優(yōu)惠券等等活動(dòng)。如某送流量活動(dòng)，輸入手機(jī)號(hào)，鼠標(biāo)點(diǎn)擊鼓達(dá)某個(gè)閾值送多少流量，攻擊者可直接修改js或者寫(xiě)js自動(dòng)模擬點(diǎn)擊刷活動(dòng)。再比如，商家為了沖銷(xiāo)量，經(jīng)常舉辦前幾百名免單活動(dòng)，攻擊者通過(guò)自動(dòng)化腳本秒殺商品，大量薅這羊毛。這直接導(dǎo)致商家銷(xiāo)售產(chǎn)品存在大量惡意退貨、退款，對(duì)于正常用戶而言，認(rèn)為自己被耍猴；對(duì)于商家投資成本帶來(lái)的回報(bào)與預(yù)期有較大出入。

商家通過(guò)某些手段，規(guī)避虛擬物品限制轉(zhuǎn)換實(shí)際產(chǎn)品銷(xiāo)售。以處于邊界的低價(jià)游戲產(chǎn)品，通過(guò)叫“白號(hào)秒單”(無(wú)太多記錄的真實(shí)賬號(hào))的手段，大量刷銷(xiāo)量，再更換類(lèi)目產(chǎn)品，保持各類(lèi)目都在銷(xiāo)量靠前排名靠前，搜索推薦都是這類(lèi)店鋪，給消費(fèi)者帶來(lái)較大的損失。

嚴(yán)格意義來(lái)講業(yè)務(wù)安全與傳統(tǒng)web安全重疊的部份較多。權(quán)限繞過(guò)這里主要指的是，常見(jiàn)的一類(lèi)邏輯漏洞。一類(lèi)是末對(duì)用戶開(kāi)放或已下線的的商品，通過(guò)id可直接遍歷到該商品，然后正常購(gòu)買(mǎi)；另一類(lèi)主要指，設(shè)計(jì)上的缺陷，比如有些卡商，在發(fā)的充值券存在一定程序的可推測(cè)，或者消費(fèi)賬號(hào)可被推測(cè)。舉例，某游戲激活碼簡(jiǎn)單的組合發(fā)售，用戶可通過(guò)暴力手段，直接用末購(gòu)買(mǎi)的激活碼激活游戲。

某些網(wǎng)站通過(guò)id等手段進(jìn)行價(jià)格判斷，但存在一定邏輯缺陷。導(dǎo)致可利用低價(jià)商品的ID號(hào)購(gòu)買(mǎi)高價(jià)值的商品。

該種主要存在于P2P類(lèi)的金融行業(yè)，在末知用戶信用或真實(shí)貸款身份下存的的一類(lèi)貸款行為，導(dǎo)致壞賬率增加。

支付體系在整個(gè)交易過(guò)程中，視為業(yè)務(wù)安全里最重要的環(huán)節(jié)，也是各類(lèi)風(fēng)控體系發(fā)揮巨大功效的地方。

在支付過(guò)程中，驗(yàn)簽不嚴(yán)的情況下，極有可能產(chǎn)生數(shù)據(jù)篡改偽造。金額任意更改，溢出，負(fù)金額等等各種場(chǎng)景。

交易類(lèi)重放攻擊，高并發(fā)的情況下末對(duì)用戶操作行為加鎖，導(dǎo)致購(gòu)買(mǎi)限制的繞過(guò)。比如，限制用戶每月兌換3次流量，在瞬間重放大量請(qǐng)求的情況下，可能同時(shí)成功兌換遠(yuǎn)大于3次。或者余額只夠購(gòu)買(mǎi)一件產(chǎn)品的情況下，高并發(fā)發(fā)生交易成功，直接變負(fù)數(shù)的可能。

套現(xiàn)行為包括：信用卡套現(xiàn)、抵用券套現(xiàn)、類(lèi)似“京東”白條類(lèi)信用產(chǎn)品套現(xiàn)。利用平臺(tái)信用卡套現(xiàn)較為常見(jiàn)，尤其P2P金融和電商普遍存在，通過(guò)信用卡支付->提現(xiàn)等。再如抵用券套現(xiàn)，活動(dòng)支付時(shí)購(gòu)買(mǎi)兩件商品，其中一件商品價(jià)格用抵用券足夠，另外一件走卡支付，這樣就可直接無(wú)風(fēng)險(xiǎn)套現(xiàn)抵用券。

支付確認(rèn)階段，商家無(wú)法確定支付是否發(fā)生于賬戶真實(shí)主人。比如可能來(lái)自被盜賬戶的支付動(dòng)作，直接導(dǎo)致正常用戶資產(chǎn)損失。比如通過(guò)信用卡購(gòu)買(mǎi)商品的后付費(fèi)用戶，攻擊者利用盜取的信用卡綁定發(fā)生實(shí)際購(gòu)買(mǎi)行為，平臺(tái)在接受綁定后產(chǎn)生交易。但卡的真實(shí)主人申報(bào)該購(gòu)買(mǎi)無(wú)效，不愿支付費(fèi)用。交易已經(jīng)發(fā)生，對(duì)于平臺(tái)來(lái)講就直接造成次產(chǎn)損失，該類(lèi)攻擊并不鮮見(jiàn)。
?

垃圾評(píng)論在社交類(lèi)應(yīng)用中大量存在，發(fā)廣告、發(fā)敏感信息、灌水等。

垃圾消息與垃圾評(píng)論基本上屬于一類(lèi)行為，在社交網(wǎng)站、電商網(wǎng)站，通過(guò)api接口漏洞，推送廣告、釣魚(yú)鏈接等等。業(yè)務(wù)層主要體現(xiàn)工單污染。

信息作弊主要指各類(lèi)投票數(shù)據(jù)、集贊、瀏覽量、粉絲等通過(guò)csrf漏洞或者機(jī)器自動(dòng)刷等，造成各類(lèi)虛擬數(shù)據(jù)。

作者： 扶夙@阿里安全，更多安全類(lèi)文章，請(qǐng)?jiān)L問(wèn)阿里聚安全博客