日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
淺談互聯(lián)網(wǎng)公司業(yè)務安全

0x00 我理解的業(yè)務安全

成都創(chuàng)新互聯(lián)公司公司2013年成立,是專業(yè)互聯(lián)網(wǎng)技術服務公司,擁有項目網(wǎng)站設計、網(wǎng)站建設網(wǎng)站策劃,項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命,1280元遵化做網(wǎng)站,已為上家服務,為遵化各地企業(yè)和個人服務,聯(lián)系電話:13518219792

業(yè)務安全,按照百度百科的解釋:業(yè)務安全是指保護業(yè)務系統(tǒng)免受安全威脅的措施或手段。廣義的業(yè)務安全應包括業(yè)務運行的軟硬件平臺(操作系統(tǒng)、數(shù)據(jù)庫等)、業(yè)務系統(tǒng)自身(軟件或設備)、業(yè)務所提供的服務的安全;狹義的業(yè)務安全指業(yè)務系統(tǒng)自有的軟件與服務的安全。

我的理解:某個平臺上的業(yè)務是指該平臺用戶在使用過程中涉及到的一系列流程,而業(yè)務安全就是保證這些流程按照預定的規(guī)則運行。

0x01 通用業(yè)務及威脅

由于互聯(lián)網(wǎng)企業(yè)的特性,其主要業(yè)務直接體現(xiàn)在其平臺上。其中有不少通用的業(yè)務流程:

1.賬號體系

A.注冊

B.登錄

C.密碼找回

D.用戶信息存儲

2.其他具體業(yè)務

A.購買/支付

B.優(yōu)惠活動

C.搶購活動

D.…

來看看分別有哪些威脅:

1.對于賬號體系:

A.惡意用戶批量注冊賬號

B.撞庫(賬號安全)

C.批量重置用戶賬號,威脅其他用戶賬號

2.其他具體業(yè)務

A.惡意訂單(下單未支付)

B.低價購買

C.批量刷優(yōu)惠券&其他獎勵

D.搶購

E.竊取其他用戶優(yōu)惠券

F.購買限制(購買數(shù)量限制/未開放購買商品限制/特殊用戶商品限制)

G.價格爬蟲

H.作弊

I.黃牛限制

J.垃圾信息(用戶欺詐)

K.交易風控(交易限額/交易信息/用戶支付信息)

L.信息泄露(未開放業(yè)務上線)

M.黑色產(chǎn)業(yè)

N.虛假交易(刷信用/套現(xiàn))

O.…

從上面的一些威脅可以看出,賬號體系安全是其他業(yè)務的基礎,與許多業(yè)務直接相關。

0x02 部分威脅解決方案

可以從兩個方面尋找不同的解決方案:

1.從技術上看

A.賬號體系

a.注冊限制:

通過圖片驗證碼、短信驗證碼、郵件驗證碼等增加批量注冊的成本

收集注冊用戶數(shù)據(jù),分析注冊后用戶的行為。通過對比正常用戶與馬甲用戶的行為、指紋等,標識馬甲用戶?;騼鼋Y(jié)沒有行為的賬戶

b.登錄:

將分散的登錄入口統(tǒng)一,防止由于遺漏而造成撞庫

增加圖片驗證碼等人機識別方式,防止登錄撞庫

限制賬號登錄頻率以及次數(shù)

通過數(shù)據(jù)分析用戶登錄趨勢圖,區(qū)分不用時間用戶嘗試登陸曲線、用戶登錄失敗曲線、用戶登錄成功曲線,可以在發(fā)生撞庫行為時做到及時響應

提示高危賬號進行密碼修改(登錄后推送)

建立用戶價值體系,通過用戶記錄、信用、行為等不同維度數(shù)據(jù)建立用戶價值體系

c.密碼找回

優(yōu)化密碼找回邏輯,防止邏輯錯誤

對返回用戶信息進行脫敏處理

通過數(shù)據(jù)分析用戶重置密碼趨勢圖,可以在發(fā)生批量用戶密碼重置時做到及時響應

d.用戶信息存儲

例子: WooYun: 高德某站嚴重用戶信息泄漏(包含明文密碼)

對用戶信息進行加鹽哈希等處理

B.其他具體業(yè)務

a.惡意訂單

通過用戶成功下單、支付等建立維度,凍結(jié)不符合規(guī)范的賬號,或在某段時間內(nèi)限制其下單

b.低價購買&購買限制

驗證購買/支付流程,后臺增加校驗機制

c.批量刷優(yōu)惠券&其他獎勵&其他用戶優(yōu)惠券

例子: WooYun: 餓了么邏輯漏洞之免費吃喝不是夢

綁定優(yōu)惠券與賬號,限制單個號碼/賬號獲取的優(yōu)惠券數(shù)量

對于批量注冊馬甲賬號的行為可以通過賬號體系進行限制

調(diào)整獎勵規(guī)則(現(xiàn)金變成券),增加使用成本(綁定身份證、銀行卡)

d.搶購&黃牛

縱深防御,從賬號體系開始

購買過程中,增加人機識別,加大惡意搶購成本

增加黃牛檢測機制,通過收貨地址、賬號、訂單數(shù)量、手機號碼、收貨人等不同維度檢測黃牛賬號

過濾從其他維度獲取的黃牛賬號

白名單用戶直接通過黃牛驗證

將付款后異常退款加入加入黑名單,標識賬號、收貨地址為黃牛賬號

e.價格爬蟲&信息泄露

規(guī)范業(yè)務上線流程,防止未開放業(yè)務上線

增加反爬蟲機制,對訪問來源進行限制

f.垃圾信息(用戶欺詐)

例子: http://tech.qq.com/a/20150820/051352.htm

處理這類風險較復雜,可以從用戶行為特征、用戶賬號信任評級加以區(qū)分

同時開啟用戶舉報功能

g.交易風控

例子:

WooYun: 攜程安全支付日志可遍歷下載 導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)

WooYun: 騰邦國際某重要系統(tǒng)SQL注入24個庫DBA權限(涉及百萬酒店訂單信息+八萬信用卡信息+信用卡明文CVV碼)

合規(guī)性檢查,符合《銀聯(lián)卡收單機構賬戶信息安全管理標準》

h.黑色產(chǎn)業(yè)

分析具體業(yè)務,找出攻擊者獲利點

建立黑名單共享聯(lián)盟,將惡意的IP、用戶ID、郵箱地址、手機號碼等列入黑名單

在上面的部分中,可以對用戶行為進行分析、建模,例如:

A.正常用戶的流程/記錄為:注冊—>登錄—>查詢—>下單—>支付—>查看訂單—>收貨

B.異常用戶的流程/記錄為:注冊—>登錄—>領取優(yōu)惠券

還可以對日志進行實時分析:

A.url深度(單斜桿出現(xiàn)次數(shù))

B.訪問離散度(頁面數(shù)/訪問次數(shù))

C.200響應比例

D.用戶訪問入口

2.從流程上看

A.項目立項風控、安全測試介入

業(yè)務評審、評估業(yè)務風險點

業(yè)務上線前經(jīng)過安全測試,包括傳統(tǒng)安全、業(yè)務接口、業(yè)務邏輯、黑白盒測試

B.業(yè)務數(shù)據(jù)實時監(jiān)控

C.異常事件介入分析

通過數(shù)據(jù)實時分析,確定當前數(shù)據(jù)是否符合預期

D.業(yè)務規(guī)則動態(tài)調(diào)整

當出現(xiàn)非預期的狀況時,適當調(diào)整、優(yōu)化規(guī)則

E.止損控制

當業(yè)務從需求上無法控制時,就要降低損失比例,減少業(yè)務損失

F.業(yè)務隔離

隔離重要業(yè)務與風險業(yè)務,使其單獨運行

0x03 業(yè)務安全挖掘思路

要挖掘業(yè)務漏洞,需要先了解業(yè)務邏輯(業(yè)務類型/流程),評估風險點。在業(yè)務流程中列出正常訪問與異常訪問區(qū)別,分析攻擊者的目的及獲利方式,對癥下藥,同時還要排除傳統(tǒng)安全威脅。


當前標題:淺談互聯(lián)網(wǎng)公司業(yè)務安全
URL地址:http://www.dlmjj.cn/article/cdeigho.html