支付安全

摘要： 0x00 索引说明 6.30在OWASP的分享，关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http:/... 0x00 索引说明 6.30在OWASP的分享，关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839 一些工具及脚本 Burpsuite htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan hydra 源码安装xhydra支持更多的协议去爆破 (可破WEB，其他协议不属于业务安全的范畴) 2 session & cookie类 会话固定攻击：利用服务器的session不变机制，借他人之手获得认证和授权，冒充他人。案例： WooYun: 新浪广东美食后台验证逻辑漏洞，直接登录后台，566764名用户资料暴露！ Cookie仿冒

如今，小型的刷脸支付设备节省了很多业务成本，并且面积也减少了，仅为原来的十分之一。 数据显示，近五年来，中国移动支付交易规模增长了33倍，2018年突破200万亿元，位居世界第一。支付宝，微信支付，银联等行业巨头已经占领了支付市场。 2018年，微信和支付宝推出了刷脸支付设备，并开始大量商业化，服务提供商，代理商和更多从业者专注于刷脸支付。 回顾2019年，IT和投资界最热门的话题几乎都是关于5G和AI两个热门领域。一些业内人士表示，5G和人工智能似乎无关紧要，但实际上是相辅相成的，智慧城市，无人驾驶，智慧零售都将受益于双核驱动的5G AI。 其中，智能零售在近期刷脸支付领域的热度飙升，有望成为最快的5G AI催化应用场景。 众所周知，支付宝领先的微信支付是电子商务领域的绝对优势。另一方面，微信支付凭借10亿用户的优势，正在与支付宝竞争。在过去的几年中，移动支付的快速发展导致支付技术的变化。 NFC付款，扫码付款，指纹付款和其他付款方式在我们的日常生活中很活跃。随着人脸识别技术的成熟和人们对便捷安全支付的需求的提高，刷脸支付逐渐进入了公众视野。 首先，刷脸支付是商家和消费者双赢的局面，刷脸支付已逐渐成为移动支付行业新的重要增长点。刷脸不仅改变了人们的生活，而且给企业带来了许多便利。 1.刷脸付款大大节省了用户的时间成本。 例如，在收银员结帐时，10个商品用户需要56秒才能完成付款

　　前言 　　大家对支付漏洞的理解通常都是篡改价格，已有的对支付漏洞的总结也是对现有的一些案例的经验式归类，没有上升到对在线支付流程深入分析的一个层面。这里尝试从分析在线支付流程，在线支付厂商的接入方式开始，深入业务分析整个在线交易流程中容易出现的安全问题。 　　 支付宝/在线支付流程 　　 支付宝即时到账接口开发流程 　　在线支付从功能上来说是通过支付宝的支付渠道，付款者直接汇款给另一个拥有支付宝账号的收款者。整个流程说明如下：引用自支付宝文档。 (1)构造请求数据 商户根据支付宝提供的接口规则，通过程序生成得到签名结果及要传输给支付宝的数据集合。 (2)发送请求数据 把构造完成的数据集合，通过页面链接跳转或表单提交的方式传递给支付宝。 (3)支付宝对请求数据进行处理 支付宝得到这些集合后，会先进行安全校验等验证，一系列验证通过后便会处理这次发送过来的数据请求。 (4)返回处理的结果数据 对于处理完成的交易，支付宝会以两种方式把数据反馈给商户网站。 程序上自动进行重新构造URL地址链接，在用户当前页面上通过自动跳转的方式跳回商户在请求时设定好的页面路径地址（参数return_url，如果商户没有设定，则不会进行该操作） 支付宝服务器主动发起通知，调用商户在请求时设定好的页面路径（参数notify_url，如果商户没有设定，则不会进行该操作）。 (5)对获取的返回结果数据进行处理

一、支付宝快捷支付的概述。 　　回顾电子商务历史，可以发现其初衷就是让用户足不出户、点击鼠标就能买到想要的商品，这一简单动机深远地影响了人民的新生活。网络购物作为电子商务的 重要组成部分，在人民的生活中占据着重要的位置。据艾瑞数据显示，2013年第二季度中国网络购物市场交易规模达4371.3亿元，而据国家统计局发布的 数据显示，2013年第二季度社会消费品零售总额达6.03万亿元，网络购物在社会消费品零售总额中的占比为7.3%.随着互联网的普及，第三方移动支付 市场交易也在日益猛增，第二季度交易规模达1064.1亿元，占有的市场交易份额的比重也在不断的增大，地位逐渐突出。 　　随着电子商务的不断发展，电商时代的付费方式正在升级换代，中国网上支付市场正加速从1.0的网银时代过渡到2.0的快捷支付时代.作为第三方支付平 台的代表---支付宝，也在电子商务支付方式的发展过程中不断的探寻自己的发展出路，试图为用户提供更为简便，快捷，安全的交易服务 。第一，支付宝于 2004年12月设立，最初主要是作为“第三方”来担保交易。用户的资金支付方式主要是靠支付宝到网上银行页面的跳转，输入用户名，密码，验证码，并通过 USB-key或者动态口令牌等硬件设备进行身份认定，完成交易确认，划动资金。这就客观上要求需要在网上购物的用户，必须去银行开通网上银行业务，并且 还得掌握繁琐的网上交易流程。 第二

工行关闭四个快捷支付接口 之前四大行下调支付宝快捷支付 额度 ，另外四大行均回应称，设置转账及交易支付限额的出发点和落脚点都是为了客户资金安全。后来有人透露 工行 正 在逐步关闭第三方快捷支付业务，目前工行快捷支付的签约服务除了浙江分行外，其他分行都已经关闭。有工行持卡人表示，其在绑定工行卡快捷支付时，系统提示 “快捷支付签约失败，具体原因请联系中国工商银行客服95588”。有消息人士确认了工行逐步关闭快捷支付业务的消息，工行已于3月23日起逐步关闭快捷 支付业务。 工行关闭快捷支付接口 从3月24日开始，部分地区工行新增快捷支付用户，小面积出现了用户签约不成功现象。支付宝将这一后果归因于工行关闭快捷支付接口之举。但银行并不 认同支付宝的说法。25日，一位接近工商银行的权威人士透露，“一个接口，正常使用是没有问题的。问题是支付宝已经不配合工行了。” 所谓的“接口”，即是从24日开始，工行已逐步关闭支付宝在工行体系的快捷支付接口数量—目前全行拥有快捷支付业务接口的分行数量从5家减少到1家。 统一接口为防范风险 3月25日，工行宣布，关闭支付宝在杭州分行之外的快捷支付接口，这一举动被市场广泛关注。 “统一接口为了加强对支付机构合作的统一管理，其中统一接口就是重要措施之一，应该说这是防范风险的需要。”工行副行长张红力称。目前，支付机构与 工行很多分行分别合作开通业务接口的模式

目录 0x01 第一季度的数据 0x02 重大安全事件概述 Ⅰ有目标性的攻击 ①BlackEnergy2/3 ②Poseidon ③Hacking Team ④Operation BLOCKBASTER ⑤针对医院的攻击 Ⅱ网络犯罪活动 ①Adwind（RAT) ②Banking threats银行威胁 ③FakeCERT ④Bangladesh 0x03 勒索木马 Ⅰ勒索木马的统计数据 ①新型勒索木马的数量 ②勒索木马攻击的用户数量 ③勒索木马攻击最多的国家Top10 ④传播最广泛的勒索木马Top10 0x04 统计数据 Ⅰ移动威胁 ①新移动威胁的数量 ②移动威胁的类型分布情况 ③移动威胁Top20 ④移动威胁的地理分布情况 ⑤移动端银行木马 ⑥移动端的勒索木马 ⑦易被网络犯罪分子攻击使用的应用程序 Ⅱ线上威胁（基于Web的攻击） ①银行业的在线威胁 ②网络资源带有恶意软件的国家Top10 Ⅲ本地威胁 ①用户面临感染威胁风险最高的国家 0x01 第一季度的数据 1. 根据KSN的数据，卡巴斯基检测到并成功防御了228,420,754 次恶意攻击，这些攻击遍布世界上195个国家。 2.网页反病毒检测到了74,001,808个恶意URL。 3.卡巴斯基网络反病毒检测到18,610,281个恶意程序，脚本，漏洞，可执行文件等。 4.有459,970个木马企图盗窃在线银行账户的资金。 5