在线支付场景安全方案.ppt

在线支付场景的安全方案
«
01
Web
层出不穷的支付安全漏洞
Token泄露
Black Hat US 2016. Mendoza. Samsung Pay: Tokenized Numbers, Flaws and Issues.
支付协议实现的安全漏洞
IEEE S&P 2011: Rui Wang . How to Shop for Free Online Security Analysis of Cashier-as-a-Service Based Web Stores
开源商庖代码的安全漏洞
NDSS 2014: Pellegrino . Toward Black-Box
Detection of Logic Flaws in Web Applications
NDSS 2014: Sun . Detecting Logic Vulnerabilities in merce Applications
1
为什么这么多的支付安全漏洞呢?
支付安全漏洞一般是涉及协议以及逻辑方面较之其他安全漏洞更难察觉。
电商网站使用开源代码,更新不及时,存在严重的支付安全风险。开发者缺乏支付安全的知识储备与开发经验。
安全通信协议不安全。
移动端带来了新的攻击面。
第三方支付掉链子。
2
薅羊毛
影响
由亍支付过程涉及金钱,因此支付安全漏洞较之其他类型的安全漏洞具有更高的敏感性和危害性。
资金蒸发
0元支付
。。。
3
我们的工作
2
支付漏洞的检测与防护
1 在线支付漏洞的研究及挖掘
总结了15种类型的在线支付的安全漏洞
研究了80多个电商网站以及APP,共检测到8种新型支付漏洞
(所有漏洞均已告知商家,现已修复)
3
4
现在以及未来工作
支付协议的形式化验证
«
02
那些“便宜的”商品
类型一:支付金额完整性- 篡改支付金额
支付流程及攻击方式
5
示例一:某VPN贩买网站
6
类型二:订单完整性- 订单生成后加货物
示例来源:Rui Wang IEEE S&P 2011
7