0x00 我理解的業務安全

---

業務安全，按照百度百科的解釋：業務安全是指保護業務系統免受安全威脅的措施或手段。廣義的業務安全應包括業務執行的軟硬體平臺（作業系統、資料庫等）、業務系統自身（軟體或裝置）、業務所提供的服務的安全；狹義的業務安全指業務系統自有的軟體與服務的安全。

我的理解：某個平臺上的業務是指該平臺使用者在使用過程中涉及到的一系列流程，而業務安全就是保證這些流程按照預定的規則執行。

0x01 通用業務及威脅

---

由於網際網路企業的特性，其主要業務直接體現在其平臺上。其中有不少通用的業務流程：

1.賬號體系

A．註冊

B．登入

C．密碼找回

D．使用者資訊儲存

2.其他具體業務

A．購買/支付

B．優惠活動

C．搶購活動

D．…

來看看分別有哪些威脅：

1．對於賬號體系：

A．惡意使用者批次註冊賬號

B．撞庫（賬號安全）

C．批次重置使用者賬號，威脅其他使用者賬號

2．其他具體業務

A．惡意訂單（下單未支付）

B．低價購買

C．批次刷優惠券&其他獎勵

D．搶購

E．竊取其他使用者優惠券

F．購買限制（購買數量限制/未開放購買商品限制/特殊使用者商品限制）

G．價格爬蟲

H．作弊

I．黃牛限制

J．垃圾資訊（使用者欺詐）

K．交易風控（交易限額/交易資訊/使用者支付資訊）

L．資訊洩露（未開放業務上線）

M．黑色產業

N．虛假交易（刷信用/套現）

O．…

從上面的一些威脅可以看出，賬號體系安全是其他業務的基礎，與許多業務直接相關。

0x02 部分威脅解決方案

---

可以從兩個方面尋找不同的解決方案：

1．從技術上看

A．賬號體系

a．註冊限制：

透過圖片驗證碼、簡訊驗證碼、郵件驗證碼等增加批次註冊的成本

收集註冊使用者資料，分析註冊後使用者的行為。透過對比正常使用者與馬甲使用者的行為、指紋等，標識馬甲使用者。或凍結沒有行為的賬戶

b．登入：

將分散的登入入口統一，防止由於遺漏而造成撞庫

增加圖片驗證碼等人機識別方式，防止登入撞庫

限制賬號登入頻率以及次數

透過資料分析使用者登入趨勢圖，區分不用時間使用者嘗試登陸曲線、使用者登入失敗曲線、使用者登入成功曲線，可以在發生撞庫行為時做到及時響應

提示高危賬號進行密碼修改（登入後推送）

建立使用者價值體系，透過使用者記錄、信用、行為等不同維度資料建立使用者價值體系

c．密碼找回

最佳化密碼找回邏輯，防止邏輯錯誤

對返回使用者資訊進行脫敏處理

透過資料分析使用者重置密碼趨勢圖，可以在發生批次使用者密碼重置時做到及時響應

d．使用者資訊儲存

例子： WooYun: 高德某站嚴重使用者資訊洩漏（包含明文密碼）

對使用者資訊進行加鹽雜湊等處理

B．其他具體業務

a．惡意訂單

透過使用者成功下單、支付等建立維度，凍結不符合規範的賬號，或在某段時間內限制其下單

b．低價購買&購買限制

驗證購買/支付流程，後臺增加校驗機制

c．批次刷優惠券&其他獎勵&其他使用者優惠券

例子： WooYun: 餓了麼邏輯漏洞之免費吃喝不是夢

繫結優惠券與賬號，限制單個號碼/賬號獲取的優惠券數量

對於批次註冊馬甲賬號的行為可以透過賬號體系進行限制

調整獎勵規則（現金變成券），增加使用成本（繫結身份證、銀行卡）

d．搶購&黃牛

縱深防禦，從賬號體系開始

購買過程中，增加人機識別，加大惡意搶購成本

增加黃牛檢測機制，透過收貨地址、賬號、訂單數量、手機號碼、收貨人等不同維度檢測黃牛賬號

過濾從其他維度獲取的黃牛賬號

白名單使用者直接透過黃牛驗證

將付款後異常退款加入加入黑名單，標識賬號、收貨地址為黃牛賬號

e．價格爬蟲&資訊洩露

規範業務上線流程，防止未開放業務上線

增加反爬蟲機制，對訪問來源進行限制

f．垃圾資訊（使用者欺詐）

例子： http://tech.qq.com/a/20150820/051352.htm

處理這類風險較複雜，可以從使用者行為特徵、使用者賬號信任評級加以區分

同時開啟使用者舉報功能

g．交易風控

例子：

WooYun: 攜程安全支付日誌可遍歷下載 導致大量使用者銀行卡資訊洩露(包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin)

WooYun: 騰邦國際某重要系統SQL隱碼攻擊24個庫DBA許可權(涉及百萬酒店訂單資訊+八萬信用卡資訊+信用卡明文CVV碼)

合規性檢查，符合《銀聯卡收單機構賬戶資訊保安管理標準》

h．黑色產業

分析具體業務，找出攻擊者獲利點

建立黑名單共享聯盟，將惡意的IP、使用者ID、郵箱地址、手機號碼等列入黑名單

在上面的部分中，可以對使用者行為進行分析、建模，例如：

A．正常使用者的流程/記錄為：註冊—>登入—>查詢—>下單—>支付—>檢視訂單—>收貨

B．異常使用者的流程/記錄為：註冊—>登入—>領取優惠券

還可以對日誌進行實時分析：

A．url深度(單斜杆出現次數)

B．訪問離散度(頁面數/訪問次數)

C．200響應比例

D．使用者訪問入口

2．從流程上看

A．專案立項風控、安全測試介入

業務評審、評估業務風險點

業務上線前經過安全測試，包括傳統安全、業務介面、業務邏輯、黑白盒測試

B．業務資料實時監控

C．異常事件介入分析

透過資料實時分析，確定當前資料是否符合預期

D．業務規則動態調整

當出現非預期的狀況時，適當調整、最佳化規則

E．止損控制

當業務從需求上無法控制時，就要降低損失比例，減少業務損失

F．業務隔離

隔離重要業務與風險業務，使其單獨執行

0x03 業務安全挖掘思路

---

要挖掘業務漏洞，需要先了解業務邏輯（業務型別/流程），評估風險點。在業務流程中列出正常訪問與異常訪問區別，分析攻擊者的目的及獲利方式，對症下藥，同時還要排除傳統安全威脅。

推薦：

http://www.taobaotest.com/blogs/2248 http://www.taobaotest.com/blogs/2329

附（引用）：

企業安全建設與賬號體系.pdf

安全平臺建設與業務安全.pdf

http://www.wooyun.org