2022應(yīng)用場景看金融安全

應(yīng)用場景金融安全金融安全現(xiàn)狀加固APP/H5加固

加固廠商加固

混淆、反調(diào)試、虛擬化

× 無法直接展開測試分析加密×一次或多次加密加密×明文數(shù)據(jù) 加密數(shù)據(jù) 無法直接篡改數(shù)據(jù)內(nèi)容安全設(shè)備×部署多個(gè)安全設(shè)備安全設(shè)備×WEB服務(wù) 攔截攻擊流量 無法直接發(fā)送攻擊請求三道門檻攔截住絕了大部分攻擊者，但也攔截住了絕大部分企業(yè)滲透測試人員系統(tǒng)安全性得無法得到全面測試，看似安全實(shí)則脆弱金融安全現(xiàn)狀

安全設(shè)備安全設(shè)備安全設(shè)備POST:‘1or1=1×POST:‘1or1=1×加密明文數(shù)據(jù) 一次或多次加密 加密數(shù)據(jù)加密POST:POST:1234567POST:Aj5yh…POST:‘1or1=1POST:‘1or1=1POST:Da7hd…金融安全現(xiàn)狀

加密安全設(shè)備+ =0加密安全設(shè)備POST:‘1or1=1POST:‘1or1=1POST:Da7hd…數(shù)據(jù)無異常，放行POST:‘1or1=1POST:‘1or1=1×網(wǎng)絡(luò)安全防護(hù)，有時(shí)并不一定是安全措施疊加越多越好標(biāo)品WAF無法適應(yīng)流量全加密的金融環(huán)境對它來說攻擊數(shù)據(jù)和普通數(shù)據(jù)加密后沒有任何區(qū)別信托保險(xiǎn)銀行信托保險(xiǎn)銀行其他金融基金證券各類供應(yīng)商和客戶金融系統(tǒng)是一個(gè)隱形的巨量開放平臺(tái)滲透測試人員+金融安全現(xiàn)狀滲透測試人員+

獲取不到賬戶的系統(tǒng)

系統(tǒng)安全沒有漏洞？那些賬戶的確難獲取，但只要花成本還是能開戶的系統(tǒng)：企業(yè)網(wǎng)銀系統(tǒng)、IPO系統(tǒng)、資本引薦系統(tǒng)、基金機(jī)構(gòu)系統(tǒng)、信托尊享系統(tǒng)和私人銀行系統(tǒng)……往往是金融系統(tǒng)中的漏洞重災(zāi)區(qū)系統(tǒng)漏洞挖掘難度與滲透測試次數(shù)成正比，與賬戶權(quán)限獲取難度成正比應(yīng)用場景分類功能場景存款場景、取款場景、轉(zhuǎn)賬場景、買入場景、賣出場景功能場景單一性、模塊化性、可視化性安全場景風(fēng)控場景、人臉識別場景、短信驗(yàn)證碼場景、UKEY場景安全場景應(yīng)用操作周期跟隨性、通用性應(yīng)用場景關(guān)聯(lián)金融安全傳統(tǒng)滲透測試從漏洞類型出發(fā)傳統(tǒng)滲透測試CSRF……命 文 信CSRF……令 件 息漏執(zhí) 上 泄漏洞行 傳 露洞漏 漏 漏洞 洞 洞

垂水XSSSQLXSSSQL越越注權(quán)權(quán)入漏漏漏洞洞洞應(yīng)用場景關(guān)聯(lián)金融安全傳統(tǒng)滲透測試測試鏈路：找到應(yīng)用→找到功能點(diǎn)→不同類型漏洞測試→產(chǎn)出漏洞傳統(tǒng)滲透測試1.漏洞類型測試全面；具體功能測試全面；測試者可靈活測試。

1.測試繁瑣類型多；功能點(diǎn)容易遺漏；缺乏整體邏輯性。基于功能點(diǎn)的測試功能點(diǎn)點(diǎn)動(dòng) 成場景應(yīng)用場景多個(gè)功能點(diǎn)組成一個(gè)應(yīng)用場景應(yīng)用場景關(guān)聯(lián)金融安全基于應(yīng)用場景的滲透測試測試鏈路：找到應(yīng)用→找到場景→對應(yīng)應(yīng)用場景漏洞測試→產(chǎn)出漏洞基于應(yīng)用場景的滲透測試1.針對性強(qiáng)，可模板化點(diǎn)對點(diǎn)展開全面測試；涵蓋所有場景內(nèi)的功能點(diǎn)不容易遺漏細(xì)節(jié)；具有整體邏輯性，排除測試人員能力因素。XX應(yīng)用場景

可能存在XX信息泄露漏洞可能存在XX校驗(yàn)繞過漏洞可能存在XX參數(shù)篡改漏洞應(yīng)用場景產(chǎn)生特定漏洞應(yīng)用場景產(chǎn)生特定漏洞，為什么？要從研發(fā)底層思維邏輯解答這個(gè)問題，想研發(fā)之所想開發(fā)一個(gè)新的場景需要有不同的功能點(diǎn)，功能點(diǎn)組合的形式不同便產(chǎn)生了不同的漏洞開發(fā)一個(gè)新的場景需要構(gòu)思代碼運(yùn)行步驟，步驟間邏輯的不縝密便產(chǎn)生了不同的漏洞應(yīng)用場景的開發(fā)邏輯思考以存款證明場景為例用戶：進(jìn)入場景→選擇凍結(jié)\非凍結(jié)類型→選擇銀行卡→選擇開立金額→選擇電子\紙質(zhì)→收到證明文件開發(fā)：查詢用戶賬戶及狀態(tài)→查詢理財(cái)及存款金額→獲取開立金額→是否凍結(jié)資產(chǎn)→生成電子資產(chǎn)證明① ② ③ ④ ⑤→判斷電子\紙質(zhì)類型→確認(rèn)收貨地址→確認(rèn)證明費(fèi)用→派發(fā)電子證明\派發(fā)紙質(zhì)工單→流程收尾⑥ ⑦ ⑧ ⑨ ⑩功能點(diǎn)單獨(dú)漏洞：①：越權(quán)查詢他人賬戶信息、賬戶ID參數(shù)SQL注入②：越權(quán)查詢他人銀行卡余額、銀行卡號參數(shù)SQL注入⑦：快遞地址XSS漏洞、電子郵箱地址郵件內(nèi)容篡改漏洞⑨：越權(quán)查看他人存款證明、工單號參數(shù)SQL注入應(yīng)用場景的開發(fā)邏輯思考以存款證明場景為例開發(fā)：查詢用戶賬戶及狀態(tài)→查詢理財(cái)及存款金額→獲取開立金額→是否凍結(jié)資產(chǎn)→生成電子資產(chǎn)證明① ② ③ ④ ⑤→判斷電子\紙質(zhì)類型→確認(rèn)收貨地址→確認(rèn)證明費(fèi)用→派發(fā)電子證明\派發(fā)紙質(zhì)工單→流程收尾⑥ ⑦ ⑧ ⑨ ⑩多個(gè)功能點(diǎn)造成的邏輯漏洞：②+③+④：凍結(jié)財(cái)產(chǎn)金額大于可用資產(chǎn)金額、凍結(jié)財(cái)產(chǎn)金額小于開立金額②+③+⑤：電子資產(chǎn)證明資產(chǎn)金額大于可用資產(chǎn)金額⑥+⑦+⑧：通過電子、紙質(zhì)證明金額差異信息及快遞優(yōu)惠信息生成低價(jià)或免費(fèi)證明訂單①+⑤+⑨：異常賬戶可順利開具資產(chǎn)證明應(yīng)用場景的開發(fā)邏輯思考以存款證明場景為例監(jiān)管機(jī)構(gòu)要求在開具存款證明前加入安全驗(yàn)證功能：

短信驗(yàn)證碼場景

（加入安全場景）開發(fā)：查詢用戶賬戶及狀態(tài)→查詢理財(cái)及存款金額→獲取開立金額→是否凍結(jié)資產(chǎn)→生成電子資產(chǎn)證明① ② ③ ④ ⑤→判斷電子\紙質(zhì)類型→確認(rèn)收貨地址→確認(rèn)證明費(fèi)用→短信驗(yàn)證碼校驗(yàn)→派發(fā)證明工單→流程收尾⑥ ⑦ ⑧ ⑨ ⑩ ?短信驗(yàn)證碼場景正確驗(yàn)證碼放行短信驗(yàn)證碼場景正確驗(yàn)證碼錯(cuò)誤驗(yàn)證碼嚴(yán)格校驗(yàn)驗(yàn)證碼正確性，無漏洞錯(cuò)誤驗(yàn)證碼攔截應(yīng)用場景的開發(fā)邏輯思考以存款證明場景為例開發(fā)：查詢用戶賬戶及狀態(tài)→查詢理財(cái)及存款金額→獲取開立金額→是否凍結(jié)資產(chǎn)→生成電子資產(chǎn)證明① ② ③ ④ ⑤⑧⑨⑩直接跳過驗(yàn)證碼功能，進(jìn)入原有開發(fā)邏輯⑧⑨⑩直接跳過驗(yàn)證碼功能，進(jìn)入原有開發(fā)邏輯⑥ ⑦ ?單獨(dú)看⑨的確沒有問題，但在整個(gè)應(yīng)用場景中卻存在漏洞研發(fā)在原有的開發(fā)邏輯上加入短信驗(yàn)證碼校驗(yàn)卻沒有修改⑩原有的邏輯，沒有加入是否已經(jīng)校驗(yàn)短信驗(yàn)證碼的判斷上下步驟的邏輯校驗(yàn)在金融系統(tǒng)中很重要每一次對應(yīng)用場景的改動(dòng)都需要重新校驗(yàn)真實(shí)案例脫敏詳解操作功能

應(yīng)用操作周期跟隨性安全場景

放行 進(jìn)行后續(xù)操功能暫時(shí)禁攔截安全場景是為阻止惡意操作者攻擊系統(tǒng)功能保障用戶信息、財(cái)產(chǎn)不受侵犯而設(shè)置的“路障”測試邏輯：一切為了繞過“路障”真實(shí)案例脫敏詳解——風(fēng)控場景不給風(fēng)控參數(shù)，等于沒有風(fēng)控POST/mbank/tran-019.do?_locale=ZH_CN&version=7.7&riskflag=XXXXX

POST/mbank/tran-019.do?_locale=ZH_CN&version=7.7&riskflag=真實(shí)案例脫敏詳解——風(fēng)控場景固定風(fēng)控參數(shù)，等于一片祥和編寫JS腳本，替換不固定的風(fēng)控參數(shù)內(nèi)容，永遠(yuǎn)傳入一個(gè)常量值“riskdoc”為AES加密之后的風(fēng)控?cái)?shù)據(jù)“prdToken”在每次API請求后都會(huì)由服務(wù)端返回的新值真實(shí)案例脫敏詳解——風(fēng)控場景觸發(fā)風(fēng)控，焉知非福密碼校驗(yàn)失?。ā癱heckstatus”狀態(tài)值），但還是返回了對應(yīng)用戶的全部信息真實(shí)案例脫敏詳解——人臉識別場景客戶端降維打擊某人臉識別SDK活體校驗(yàn)?zāi)K真實(shí)案例脫敏詳解——人臉識別場景客戶端降維打擊發(fā)現(xiàn)Class:com.xxx.sdk.live.verify.EyeClose EyeClose請眨眨眼真實(shí)案例脫敏詳解——人臉識別場景服務(wù)端降維打擊使用本人真實(shí)人臉識別捕獲人臉識別請求數(shù)據(jù)真實(shí)案例脫敏詳解——人臉識別場景服務(wù)端降維打擊我們發(fā)現(xiàn)在向“FaceChecking.action”API發(fā)送人臉識別數(shù)據(jù)時(shí)，請求數(shù)據(jù)包內(nèi)有兩個(gè)重要參數(shù)值其中第一個(gè)參數(shù)是“photo”，經(jīng)過分析為用戶無動(dòng)作時(shí)的正臉照片經(jīng)過Base64編碼之后的數(shù)據(jù)我們將其替換為從被攻擊者身份證上截取的本人照片Base64編碼之后的數(shù)據(jù)真實(shí)案例脫敏詳解——人臉識別場景服務(wù)端降維打擊第二個(gè)參數(shù)是“faceData”，也為Base64編碼之后的數(shù)據(jù)我們解碼之后簡化如下：眼時(shí)的照片經(jīng)過Base64編碼之后的數(shù)據(jù),用戶眨眼時(shí)的臉部特征值 用戶微笑時(shí)的照片經(jīng)過Base64編碼之后的數(shù)據(jù),用戶微笑時(shí)的臉部特征值其中涉及到兩張圖片：用戶眨眼時(shí)的照片和用戶微笑時(shí)的照片我們繼續(xù)將這兩張圖片替換為攻擊者身份證上截取的本人照片Base64編碼之后的數(shù)據(jù)，然后進(jìn)行人臉識別操作：真實(shí)案例脫敏詳解——人臉識別場景系統(tǒng)會(huì)把當(dāng)前用戶上傳的身份證照片頭像當(dāng)做用戶人臉數(shù)據(jù)，后續(xù)人臉識別將以此作為人臉比對數(shù)據(jù)特殊的人臉識別系統(tǒng)會(huì)把當(dāng)前用戶上傳的身份證照片頭像當(dāng)做用戶人臉數(shù)據(jù)，后續(xù)人臉識別將以此作為人臉比對數(shù)據(jù)真實(shí)案例脫敏詳解——UKEY場景

UKEY驅(qū)動(dòng)在本地建立Web服務(wù)與企業(yè)端網(wǎng)銀進(jìn)行全部交互操作真實(shí)案例脫敏詳解——UKEY場景UKEY驅(qū)動(dòng)數(shù)據(jù)交互實(shí)現(xiàn)方法為JSONP UKEY驅(qū)動(dòng)漏洞秒變JSONP跨域漏洞成功實(shí)現(xiàn)操作UKEY驅(qū)動(dòng)任意功能真實(shí)案例脫敏詳解需進(jìn)行某操作

單一性、模塊化性功能場景

在約束條件內(nèi)

完成對應(yīng)操作功能場景靈活多樣，交互邏輯各異，不同場景下并沒有固定的漏洞挖掘邏輯不必局限于傳統(tǒng)測試思路，要從找漏洞變成“創(chuàng)造”漏洞or下線真實(shí)案例脫敏詳解——數(shù)字人民幣場景其他商業(yè)銀行接入真實(shí)案例脫敏詳解——數(shù)字人民幣場景真實(shí)案例脫敏詳解——數(shù)字人民幣場景對公錢包來到注冊處輸入錢包ID此時(shí)返回錢包預(yù)留的法人信息及手機(jī)號全部篡改成自己的數(shù)據(jù)接著系統(tǒng)會(huì)判斷錢包是否注冊篡改返回包內(nèi)容成未注冊狀態(tài)按照流程創(chuàng)建支付密碼強(qiáng)制重新注冊錢包信息真實(shí)案例脫敏詳解——數(shù)字人民幣場景對公錢包

?付密碼就能夠以把錢轉(zhuǎn)?真實(shí)案例脫敏詳解——數(shù)字人民幣場景對私錢包接收驗(yàn)證碼碼時(shí)將接收?機(jī)號篡改為??的?機(jī)號真實(shí)案例脫敏詳解——數(shù)字人民幣場景對私錢包???的?臉去識別 重置完密碼后擁有錢包全部權(quán)限真實(shí)案例脫敏詳解——存款場景時(shí)長不變:利率變高利率不變:時(shí)長變短"depositRate":"1.9""depositRate":"77.7"篡改參數(shù)后重新發(fā)包成功以高利率購買存款產(chǎn)品真實(shí)案例脫敏詳解——登錄場景首次登錄情況特殊會(huì)有一些列初始化設(shè)置很多人都是初始化完成之后才開始測試很難進(jìn)入到該邏輯中成功重置任意網(wǎng)銀賬戶密碼并使用新密碼登錄真實(shí)案例脫敏詳解——登錄場景驗(yàn)證碼校驗(yàn)

新設(shè)備登錄手機(jī)網(wǎng)銀時(shí)需要身份驗(yàn)證綁定手機(jī)雙因子校驗(yàn)

人臉識別校驗(yàn)真實(shí)案例脫敏詳解——登錄場景密碼登錄之后發(fā)現(xiàn)還要短信驗(yàn)證碼二次校驗(yàn)

發(fā)現(xiàn)登錄之后的返回包內(nèi)含有疑似用戶憑證Cookie內(nèi)容猜測二次校驗(yàn)可被饒過

找到疑似校驗(yàn)參數(shù)"bindDeviceFlag""bindDeviceFlag":true↓"bindDeviceFlag":false成功繞過二次校驗(yàn)登錄系統(tǒng)真實(shí)案例脫敏詳解——登錄場景登錄返回包內(nèi)有Token值本地安全設(shè)備校驗(yàn)找到判斷參數(shù)，直接篡改數(shù)據(jù)交叉利?

來到人臉識別登錄模塊點(diǎn)擊進(jìn)行人臉識別并查看對應(yīng)返回包獲取到userId參數(shù)內(nèi)容真實(shí)案例脫敏詳解——登錄場景數(shù)據(jù)交叉利?將?臉識別登錄流程中獲取到的值給驗(yàn)證碼登錄流程使?，成功登錄真實(shí)案例脫敏詳解——支付場景最低值邏輯POST/mapp/orderPay.do?prodId=xxxxx&amount=800&count=1

POST/mapp/orderPay.do?prodId=xxxxx&ount=0&count=1真實(shí)案例脫敏詳解——支付場景加法邏輯查看數(shù)據(jù)包一共150個(gè)參數(shù) 涉訂單金額的參數(shù)有16個(gè)真實(shí)案例脫敏詳解——支付場景加法邏輯商品原價(jià)540元(totalfee)實(shí)際付款10元(payment)商家讓利價(jià)530元(yieldProfits)530+10=540真實(shí)案例脫敏詳解——支付場景減法邏輯

?程序在付款界?同可以使?賬戶余額?真實(shí)案例脫敏詳解——支付場景減法邏輯POST/miniapp/action/paymyorder?id=xxx&yuePay=0&cardPay=10HTTP/1.1Host:Connection:closeContent-Length:0Sec-Fetch-Dest:emptyUser-Agent:Mozilla/5.0(WindowsNT6.3;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/47.0.2526.106Safari/537.36Content-Type:application/x-www-form-urlencodedAccept:*/*Origin:/Sec-Fetch-Site:same-originSec-Fetch-Mode:corsAccept-Encoding:gzip,deflate兩者值必須等于訂單金額10元，否則會(huì)報(bào)錯(cuò)真實(shí)案例脫敏詳解——支付場景減法邏輯15–5=10POST/miniapp/action/paymyorder?id=xxx&yuePay=0&cardPay