聚合支付結(jié)算平臺(tái)通道數(shù)據(jù)被黑客篡改如何解決

2020春節(jié)即將來臨,收到新聚合支付平臺(tái)網(wǎng)站客戶的求助電話給我們Sinesafe,反映支付訂單狀態(tài)被修改由原先未支付修改為已支付,導(dǎo)致商戶那邊直接發(fā)貨給此訂單會(huì)員了,商戶和平臺(tái)的損失較大，很多碼商都不敢用此支付平臺(tái)了，為了防止聚合支付系統(tǒng)繼續(xù)被攻擊，我們SINE安全大體情況了解后，立即安排從業(yè)十年的安全工程師，成立聚合、通道支付平臺(tái)安全應(yīng)急響應(yīng)小組。

我們提供的服務(wù)有：成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、富錦ssl等。為近千家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的富錦網(wǎng)站制作公司

分析并了解支付過程

我們Sinesafe對(duì)整個(gè)第三方支付平臺(tái)網(wǎng)站的流程進(jìn)行了分析如下,平臺(tái)首先要對(duì)接到上游支付通道,然后由上游支付通道返回支付狀態(tài)回調(diào)到平臺(tái)，然后由平臺(tái)的狀態(tài)返回給商戶（也就是碼商），首先碼商注冊(cè)好平臺(tái)的商家用戶,然后從商家用戶后臺(tái)獲取接口對(duì)接程序與碼商自己的網(wǎng)站進(jìn)行對(duì)接調(diào)試，如果商家會(huì)員對(duì)訂單進(jìn)行了支付,如果支付成功會(huì)回從平臺(tái)獲取支付狀態(tài),而平臺(tái)去從上游通道獲取狀態(tài)來回調(diào)到自身平臺(tái),目前大部分的接口都是一些PDD通道以及個(gè)人二維碼對(duì)接的企業(yè)通道，俗稱為聚合支付。

支付漏洞安全原因癥狀

1.發(fā)現(xiàn)在碼商下的會(huì)員訂單并未成功支付導(dǎo)致在平臺(tái)這里的支付狀態(tài)被黑客修改為已支付,從而回調(diào)數(shù)據(jù)給商戶說明已經(jīng)支付了,導(dǎo)致訂單是成功的狀態(tài),商家不得不發(fā)貨給會(huì)員（也就是上分給會(huì)員）從而惡意提現(xiàn)導(dǎo)致商家損失嚴(yán)重。

2.發(fā)現(xiàn)商戶申請(qǐng)?zhí)岈F(xiàn)這里的收款人信息被篡改，導(dǎo)致商戶的資金被冒領(lǐng)。很多碼商對(duì)這一點(diǎn)是非常重視的，幾乎都是日結(jié)算。而且平臺(tái)每天放量都是有數(shù)量的,幾乎都是集團(tuán)下的在收量,對(duì)于資金這一塊非常敏感而重視。

3.發(fā)現(xiàn)有些訂單被刪除,導(dǎo)致對(duì)賬對(duì)不起來總是商戶結(jié)算和上游通道結(jié)算的金額不對(duì)應(yīng),導(dǎo)致盈利少,其實(shí)這是因?yàn)楹诳桶延唵蝿h除了而商戶的成功金額是增加的,但上游通道里的金額是不增加的。

網(wǎng)站漏洞安全日志檢查分析

了解上述的問題后,知道了具體的問題發(fā)生癥狀以及支付的整個(gè)流程，安排Sine安全工程師團(tuán)隊(duì)小組快速響應(yīng)處理找出漏洞問題關(guān)鍵,把客戶的損失降到最低，隨即登錄了支付平臺(tái)網(wǎng)站服務(wù)器對(duì)程序代碼做了審計(jì)和分析，發(fā)現(xiàn)程序用的是TP架構(gòu)（thinkphp）管理后臺(tái)和前端都是在一起的，對(duì)程序代碼功能函數(shù)做了對(duì)比看支付過程中的函數(shù)有無被夸權(quán)限調(diào)用，發(fā)現(xiàn)后臺(tái)登錄這里被做了手腳可以通過內(nèi)置的函數(shù)去任意登錄不需要任何密碼，如圖：

通過get此函數(shù)admin_login_test123可以直接任意登錄后臺(tái)。發(fā)現(xiàn)這只是其中一點(diǎn)，后臺(tái)登錄后可以設(shè)置訂單的狀態(tài),但黑客的手法不是這樣操作的,因?yàn)閺暮笈_(tái)手動(dòng)改狀態(tài)的話那么在支付成功的狀態(tài)這里的數(shù)據(jù)庫表會(huì)增加一個(gè)data時(shí)間戳，而黑客篡改支付的狀態(tài)是沒有這個(gè)時(shí)間戳的，說明不是通過后臺(tái)去修改的，是通過直接執(zhí)行sql語句或直接修改數(shù)據(jù)庫才達(dá)到的，知道問題原因后分析了下程序其他文件看是否有腳本后門,果真發(fā)現(xiàn)了phpwebshell后門,其中有好幾個(gè)后門都是可以直接操作MySQL數(shù)據(jù)庫如下：

發(fā)現(xiàn)程序里有不少的后門文件以及隱蔽一句話后門木馬，通過我們SINE工程師的滲透測(cè)試服務(wù)發(fā)現(xiàn)商戶功能圖片上傳存在漏洞可以任意上傳php格式的后門文件，導(dǎo)致被入侵，發(fā)現(xiàn)在訂單查詢功能中存在SQL注入漏洞可以進(jìn)行updata更新語句去執(zhí)行數(shù)據(jù)庫修改。隨后我們立即對(duì)這3個(gè)網(wǎng)站漏洞進(jìn)行了修復(fù),清理了木馬后門和隱蔽后門。讓平臺(tái)開始運(yùn)營3天觀察看看還有無被篡改，至此沒再發(fā)生過訂單狀態(tài)被篡改攻擊的安全問題。

第三方支付平臺(tái) 網(wǎng)站安全防護(hù)建議

對(duì)新平臺(tái)的上線前必須要滲透測(cè)試漏洞，對(duì)sql注入進(jìn)行語句嚴(yán)格定義和轉(zhuǎn)換，對(duì)上傳這里的格式進(jìn)行白名單控制，對(duì)網(wǎng)站支付回調(diào)和通過獲取狀態(tài)嚴(yán)格做對(duì)比，如對(duì)sgin做來回匹配比對(duì)，簽名效驗(yàn)看是否存在被篡改值如果被篡改直接返回?cái)?shù)據(jù)報(bào)錯(cuò)，如果對(duì)程序代碼安全問題不熟悉不專業(yè)的話建議找專業(yè)的網(wǎng)站安全公司來處理解決，國內(nèi)做的比較不錯(cuò)的如Sinesafe,鷹盾安全,綠盟,啟明星辰等等都是比較大的網(wǎng)站安全服務(wù)商。

當(dāng)前文章：聚合支付結(jié)算平臺(tái)通道數(shù)據(jù)被黑客篡改如何解決
文章地址：http://bm7419.com/article12/jdjcdc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、網(wǎng)站內(nèi)鏈、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)公司、網(wǎng)站制作、建站公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)