一、前言

互聯(lián)網(wǎng)金融是這兩年來在金融界的新興名詞，也是互聯(lián)網(wǎng)行業(yè)一個重要的分支，但互聯(lián)網(wǎng)金融不是互聯(lián)網(wǎng)和金融業(yè)的簡單結(jié)合，而是在實現(xiàn)安全、移動等網(wǎng)絡(luò)技術(shù)水平上，被用戶熟悉接受后，適應(yīng)新的需求而產(chǎn)生的新模式及新業(yè)務(wù)，目前除了常見的網(wǎng)上銀行、第三方支付，這兩年很多的民間融資貸款平臺也逐步興起，像P2P網(wǎng)貸、眾籌等。越直接涉及到金錢的業(yè)務(wù)就越敏感，這是眾所周知的，平臺的運(yùn)作除了建立在強(qiáng)大的資金鏈之外，平臺自身的公信力也是很關(guān)鍵的，在陸陸續(xù)續(xù)的一些金融平臺出現(xiàn)過安全問題后，越來越多的此類平臺也逐步意識到安全的重要性。

我們曾經(jīng)受邀請檢測過網(wǎng)上一些互聯(lián)網(wǎng)金融交易平臺，在檢測的過程曾發(fā)現(xiàn)部分平臺存在著嚴(yán)重的安全問題，在本期的技術(shù)專題中我們將針對所發(fā)現(xiàn)過的一些常見的安全問題進(jìn)行總結(jié)，同時提出相應(yīng)的解決辦法，希望對開發(fā)的人員代碼安全能力有所提高。

二、安全漏洞剖析

2.1統(tǒng)計

我們對曾測試對約多家金融交易平臺進(jìn)行過一次漏洞統(tǒng)計，除了常見的一些如注入、跨站、CSRF、惡意上傳等Web漏洞外，部分金融平臺在業(yè)務(wù)功能上存在著嚴(yán)重的風(fēng)險，如任意用戶密碼重置、交易參數(shù)惡意篡改等，與常見的注入、惡意上傳不同，這些業(yè)務(wù)邏輯的漏洞不會直接影響服務(wù)器的安全，但卻會直接影響用戶的資金、賬號的安全，其風(fēng)險程度有過之而無不及，若被黑客所利用或被曝光，將嚴(yán)重影響平臺公信力。

我們對常見的漏洞進(jìn)行過統(tǒng)計，發(fā)現(xiàn)其中越權(quán)操作的占比最高，在我們所測試過的平臺中基本都有發(fā)現(xiàn)，包括任意查詢用戶信息、任意刪除等行為;最嚴(yán)重的漏洞出現(xiàn)在賬號安全，包括重置任意用戶密碼、驗證碼暴力破解等。下面我們將以舉例的方式給介紹一些常見的安全問題以及其解決方法。

2.2越權(quán)操作

漏洞描述

平行權(quán)限越權(quán)操作其實是一種較為常見的安全漏洞，在OWASP Top 10中也有所提及，分別為不安全對象引用和功能級別訪問控制缺失。

其中不安全對象引用指的是平行權(quán)限的訪問控制缺失，比方說，A和B兩個同為一個網(wǎng)站的普通用戶，他們之間的個人資料是相互保密的，A用戶的個人資料可以被B用戶利用程序訪問控制的缺失惡意查看，由于A用戶和B用戶之間是一個同級的賬號，因此稱為平行權(quán)限的訪問控制缺失。功能級別訪問控制缺失指的是垂直權(quán)限的訪問控制缺失，比方說，A賬號為普通賬號、B賬號為管理員賬號，B賬號的管理頁面時必須是以管理員權(quán)限登錄后方可查看，但A賬號可通過直接輸入管理頁面URL的方式繞過管理員登錄限制查看管理頁面，由于A用戶和B用戶的權(quán)限是垂直關(guān)系，因此稱為垂直權(quán)限的訪問控制缺失。該類型屬于業(yè)務(wù)設(shè)計缺陷的安全問題，因此傳統(tǒng)的掃描器是無法發(fā)現(xiàn)的，只能通過手工的滲透測試去進(jìn)行檢查。在金融平臺中以平行權(quán)限的訪問控制缺失較為常見。

案例

在金融交易平臺中，該類型的安全漏洞主要出現(xiàn)在賬號余額查詢，賬號個人資料篡改等功能上。下面我們通過幾個簡單的案例給大家進(jìn)行說明

⑴ 任意修改用戶資料

某交易平臺的用戶可以通過該系統(tǒng)的個人資料修改頁面修改個人的昵稱和頭像。

截取發(fā)送修改請求的數(shù)據(jù)包抓取進(jìn)行分析。我們發(fā)現(xiàn)在提交的過程中，其實請求自帶了一個隱藏的參數(shù)investor.loginName，其實investor.loginName為登錄的手機(jī)號碼(或用戶名)，investor.Name為重置的用戶名，通過直接修改掉參數(shù)investor.loginName為任意注冊的用戶名或者手機(jī)號碼，即可成功篡改重置該用戶的用戶名。

⑵ 任意查詢用戶信息

在對金融交易平臺測試的過程中，我們發(fā)現(xiàn)大部分平臺并未對查詢功能進(jìn)行優(yōu)化，使用用戶的uid之類的賬號標(biāo)志參數(shù)作為查詢的關(guān)鍵字，并且未對查詢范圍進(jìn)行控制，導(dǎo)致出現(xiàn)任意信息查詢的安全漏洞。該類型漏洞在手機(jī)客戶端較為常見，如在某交易平臺手機(jī)商城就發(fā)現(xiàn)了任意查詢其他用戶信息的安全問題。

當(dāng)點(diǎn)擊商城的個人資料修改處，系統(tǒng)會通過將當(dāng)前用戶的phone_client_uuid提交到服務(wù)器進(jìn)行查詢，調(diào)出個人資料的內(nèi)容

但由于系統(tǒng)并未對該功能進(jìn)行訪問控制，導(dǎo)致可通過遍歷uuid的方式查詢平臺中任意用戶的資料，通過工具對phone_client_uuid的后5位進(jìn)行爆破嘗試，如下圖：

通過對返回值的length進(jìn)行篩選，發(fā)現(xiàn)成功爆破部分phone_client_uuid所對應(yīng)的用戶信息。

代碼防護(hù)

針對平行權(quán)限的訪問控制缺失，我們建議使用基于用戶或者會話的間接對象引用進(jìn)行防護(hù)，比方說，一個某個選項包含6個授權(quán)給當(dāng)前用戶的資源，它可以使用一串特殊的數(shù)字或者字符串來指示哪個是用戶選擇的值，而不是使用資源的數(shù)據(jù)庫關(guān)鍵字來表示，數(shù)字和字符串的生成可以結(jié)合賬號信息進(jìn)行生成，使得攻擊者難以猜測生成的方式。

針對垂直權(quán)限的訪問控制缺失，我們建議可以使用缺省拒絕所有的訪問機(jī)制，然后對于每個功能的訪問，可以明確授予特定角色的訪問權(quán)限，同時用戶在使用該功能時，系統(tǒng)應(yīng)該對該用戶的權(quán)限與訪問控制機(jī)制進(jìn)行校對。#p#

2.3任意重置用戶密碼

漏洞描述

在眾多的交易平臺中，NSTRT發(fā)現(xiàn)任意重置用戶密碼這類型的問題也較為普遍，主要是出現(xiàn)在密碼找回、郵箱驗證等方面，部分漏洞從技術(shù)原理來說上來說它與越權(quán)操作時相似的，即用戶越權(quán)去修改其他用戶的信息，如密保電話、密保郵箱等，由于它敏感性所以我們將它歸納成一類進(jìn)行探討。

案例

繞過短信驗證碼

基本所有的金融交易平臺都有短信找回密碼的功能，但部分短信驗證的功能較為不完善導(dǎo)致可被利用重置任意用戶的賬號，同樣是某金融平臺的實際案例：

在已知對方用戶名和手機(jī)號碼的情況下，通過站點(diǎn)的密碼找回功能可繞過短信驗證碼直接重置該賬號密碼。下圖為密碼重置頁面：

該漏洞出現(xiàn)主要的原因在于開發(fā)人員在第二步設(shè)置新密碼時服務(wù)端沒有對手機(jī)驗證碼進(jìn)行二次校驗，導(dǎo)致當(dāng)攻擊者可以利用修改返回值的方式直接跳轉(zhuǎn)到設(shè)置新密碼頁面，然后重置用戶的密碼。

短信驗證碼暴力破解

部分金融交易平臺為了用戶登錄方便會設(shè)置短信驗證碼登錄功能，但并未對驗證碼的登錄錯誤次數(shù)進(jìn)行限制，導(dǎo)致可利用驗證碼爆破的方式強(qiáng)行登錄賬號。在某證券交易平臺就曾出現(xiàn)過該安全問題。

該平臺使用6位數(shù)字隨機(jī)驗證碼進(jìn)行登錄，但并未對登錄錯誤次數(shù)和驗證碼失效時間進(jìn)行限制，導(dǎo)致可以暴力破解該驗證碼強(qiáng)制登錄賬號。如下圖：

同樣是通過返回值的length字段進(jìn)行判斷是否登錄成功。6位字段的爆破需要較長的時間，但4位驗證碼的爆破時間最慢也僅需要約5分鐘左右。

代碼防護(hù)

針對案例一中的漏洞，我們建議在第二步修改密碼時服務(wù)端再次驗證手機(jī)驗證碼，部分平臺所采用的做法是，第一步驗證碼提交成功后，將驗證碼隱藏在一個“hidden”表單中，并在第二步修改密碼中進(jìn)行提交，服務(wù)端再次驗證短信驗證碼，保證準(zhǔn)確性，同時對驗證碼的錯誤次數(shù)進(jìn)行限制，當(dāng)驗證錯誤超過特定次數(shù)，當(dāng)前驗證碼無效。

針對案例二中的漏洞，我們同樣建議隨機(jī)驗證碼設(shè)置錯誤次數(shù)限制，當(dāng)驗證錯誤超過特定次數(shù)，當(dāng)前驗證碼即無效。

2.4惡意注冊

漏洞描述

惡意注冊，是指攻擊者利用網(wǎng)站注冊功能的安全漏洞，注冊大量的垃圾賬號，導(dǎo)致系統(tǒng)增多大量無用數(shù)據(jù)。一般網(wǎng)站開發(fā)者為了防止惡意注冊的行為，在注冊頁面均會在加入一些需要人工輸入的步驟，比方說短信驗證碼，郵箱驗證等。但是在對金融平臺測試的過程中，同樣也發(fā)現(xiàn)了部分驗證功能可被繞過。

案例

注冊數(shù)據(jù)包重放繞過驗證碼

部分金融交易平臺為了保證注冊用戶的真實性，往往都會要求驗證手機(jī)，并通過發(fā)送驗證碼的方式來保證注冊賬號并非僵尸賬號，但是部分平臺的驗證碼可被多次重放，導(dǎo)致可注冊大量垃圾賬號，在某交易商城的注冊功能就存在該漏洞，下圖為注冊時需要給手機(jī)發(fā)送驗證碼的數(shù)據(jù)包：

短息碼驗證完后，直接注冊寫數(shù)據(jù)庫，通過修改phoneNum的值可以實現(xiàn)批量注冊賬號：

通過修改phoneNum的值為15527xxxx96、15527xxxx97可成功注冊這兩個賬號:

該漏洞出現(xiàn)的原因在于后臺未校驗驗證碼的使用次數(shù)和時間，只校驗了其準(zhǔn)確性，因此可被利用進(jìn)行多次注冊。

代碼防護(hù)

目前遇到的大部分惡意注冊類的安全漏洞均為驗證碼可被多次使用造成，我們建議后臺對驗證碼的使用進(jìn)行限制，任何的驗證碼應(yīng)為一次性，防止驗證碼被多次使用。#p#

2.5惡意短信

漏洞描述

惡意短信是一種類似于DDoS的攻擊方式，他是利用網(wǎng)站的短信相關(guān)的功能，對用戶的手機(jī)進(jìn)行長時間的短信轟炸，導(dǎo)致手機(jī)癱瘓。除了單純的短信轟炸之外，我們在測試過程中也發(fā)現(xiàn)，部分金融交易平臺對所發(fā)送的短信內(nèi)容也并沒有進(jìn)行限制，導(dǎo)致可被利用進(jìn)行短信欺詐。

案例

短信轟炸

在測試的過程中，我們發(fā)現(xiàn)眾多的金融交易平臺僅在前端通過JS校驗時間來控制短信發(fā)送按鈕，但后臺并未對發(fā)送做任何限制，導(dǎo)致可通過重放包的方式大量發(fā)送惡意短信。如某交易平臺的手機(jī)注冊處就出現(xiàn)過該類型漏洞。利用fiddler抓取數(shù)據(jù)包，并進(jìn)行重放可以繞過前端的限制，大量發(fā)送惡意短信。

任意短信內(nèi)容編輯

在某平臺的修改綁定手機(jī)功能就曾出現(xiàn)過可編輯短信內(nèi)容的問題。

點(diǎn)擊“獲取短信驗證碼”，并抓取數(shù)據(jù)包內(nèi)容，如下圖。通過分析數(shù)據(jù)包，可以發(fā)現(xiàn)參數(shù)sendData/insrotxt的內(nèi)容有客戶端控制，可以修改為攻擊者想要發(fā)送的內(nèi)容

將內(nèi)容修改“恭喜你獲得由xx銀行所提供的iphone6一部，請登錄http://www.xxx.com領(lǐng)取，驗證碼為236694”并發(fā)送該數(shù)據(jù)包，手機(jī)可收到修改后的短信內(nèi)容，如下圖：

該類型漏洞對系統(tǒng)的影響不大，但若被攻擊者利用進(jìn)行短信欺詐，將嚴(yán)重影響平臺的聲譽(yù)，甚至可能會惹上法律糾紛。

代碼防護(hù)

針對惡意短信類的安全問題，我們建議可以通過以下兩種方式進(jìn)行防護(hù)：

1、從服務(wù)端限制每個號碼的發(fā)送頻率和每天的發(fā)送次數(shù)，防止攻擊者利用短信接口進(jìn)行惡意轟炸。‍‍

‍‍2、發(fā)送短信的內(nèi)容應(yīng)直接由系統(tǒng)內(nèi)部進(jìn)行定義，客戶端可通過數(shù)字或字符的方式，對所需要發(fā)送的內(nèi)容進(jìn)行選擇，如messagetype=1 為密碼找回，messtype=2為注冊，然后通過數(shù)字來索引要發(fā)送的內(nèi)容。

三、總結(jié)

隨著社會的進(jìn)步，互聯(lián)網(wǎng)金融交易平臺將會越來越流行，平臺涉及用戶信息、資金等敏感信息，因此平臺安全性應(yīng)更應(yīng)受到重視，開發(fā)商必須加強(qiáng)開發(fā)人員的代碼安全意識，建立代碼安全開發(fā)規(guī)范，同時結(jié)合第三方滲透測試和代碼審計的方式對即將上線的系統(tǒng)僅測試，提高平臺的安全性。