2022應(yīng)用場景看金融安全

應(yīng)用場景金融安全金融安全現(xiàn)狀加固APP/H5加固

加固廠商加固

混淆、反調(diào)試、虛擬化

× 無法直接展開測試分析加密×一次或多次加密加密×明文數(shù)據(jù) 加密數(shù)據(jù) 無法直接篡改數(shù)據(jù)內(nèi)容安全設(shè)備×部署多個安全設(shè)備安全設(shè)備×WEB服務(wù) 攔截攻擊流量 無法直接發(fā)送攻擊請求三道門檻攔截住絕了大部分攻擊者，但也攔截住了絕大部分企業(yè)滲透測試人員系統(tǒng)安全性得無法得到全面測試，看似安全實則脆弱金融安全現(xiàn)狀

安全設(shè)備安全設(shè)備安全設(shè)備POST:‘1or1=1×POST:‘1or1=1×加密明文數(shù)據(jù) 一次或多次加密 加密數(shù)據(jù)加密POST:POST:1234567POST:Aj5yh…POST:‘1or1=1POST:‘1or1=1POST:Da7hd…金融安全現(xiàn)狀

加密安全設(shè)備+ =0加密安全設(shè)備POST:‘1or1=1POST:‘1or1=1POST:Da7hd…數(shù)據(jù)無異常，放行POST:‘1or1=1POST:‘1or1=1×網(wǎng)絡(luò)安全防護，有時并不一定是安全措施疊加越多越好標(biāo)品WAF無法適應(yīng)流量全加密的金融環(huán)境對它來說攻擊數(shù)據(jù)和普通數(shù)據(jù)加密后沒有任何區(qū)別信托保險銀行信托保險銀行其他金融基金證券各類供應(yīng)商和客戶金融系統(tǒng)是一個隱形的巨量開放平臺滲透測試人員+金融安全現(xiàn)狀滲透測試人員+

獲取不到賬戶的系統(tǒng)

系統(tǒng)安全沒有漏洞？那些賬戶的確難獲取，但只要花成本還是能開戶的系統(tǒng)：企業(yè)網(wǎng)銀系統(tǒng)、IPO系統(tǒng)、資本引薦系統(tǒng)、基金機構(gòu)系統(tǒng)、信托尊享系統(tǒng)和私人銀行系統(tǒng)……往往是金融系統(tǒng)中的漏洞重災(zāi)區(qū)系統(tǒng)漏洞挖掘難度與滲透測試次數(shù)成正比，與賬戶權(quán)限獲取難度成正比應(yīng)用場景分類功能場景存款場景、取款場景、轉(zhuǎn)賬場景、買入場景、賣出場景功能場景單一性、模塊化性、可視化性安全場景風(fēng)控場景、人臉識別場景、短信驗證碼場景、UKEY場景安全場景應(yīng)用操作周期跟隨性、通用性應(yīng)用場景關(guān)聯(lián)金融安全傳統(tǒng)滲透測試從漏洞類型出發(fā)傳統(tǒng)滲透測試CSRF……命 文 信CSRF……令 件 息漏執(zhí) 上 泄漏洞行 傳 露洞漏 漏 漏洞 洞 洞

垂水XSSSQLXSSSQL越越注權(quán)權(quán)入漏漏漏洞洞洞應(yīng)用場景關(guān)聯(lián)金融安全傳統(tǒng)滲透測試測試鏈路：找到應(yīng)用→找到功能點→不同類型漏洞測試→產(chǎn)出漏洞傳統(tǒng)滲透測試1.漏洞類型測試全面；具體功能測試全面；測試者可靈活測試。

1.測試繁瑣類型多；功能點容易遺漏；缺乏整體邏輯性?；诠δ茳c的測試功能點點動 成場景應(yīng)用場景多個功能點組成一個應(yīng)用場景應(yīng)用場景關(guān)聯(lián)金融安全基于應(yīng)用場景的滲透測試測試鏈路：找到應(yīng)用→找到場景→對應(yīng)應(yīng)用場景漏洞測試→產(chǎn)出漏洞基于應(yīng)用場景的滲透測試1.針對性強，可模板化點對點展開全面測試；涵蓋所有場景內(nèi)的功能點不容易遺漏細(xì)節(jié)；具有整體邏輯性，排除測試人員能力因素。XX應(yīng)用場景

可能存在XX信息泄露漏洞可能存在XX校驗繞過漏洞可能存在XX參數(shù)篡改漏洞應(yīng)用場景產(chǎn)生特定漏洞應(yīng)用場景產(chǎn)生特定漏洞，為什么？要從研發(fā)底層思維邏輯解答這個問題，想研發(fā)之所想開發(fā)一個新的場景需要有不同的功能點，功能點組合的形式不同便產(chǎn)生了不同的漏洞開發(fā)一個新的場景需要構(gòu)思代碼運行步驟，步驟間邏輯的不縝密便產(chǎn)生了不同的漏洞應(yīng)用場景的開發(fā)邏輯思考以存款證明場景為例用戶：進(jìn)入場景→選擇凍結(jié)\非凍結(jié)類型→選擇銀行卡→選擇開立金額→選擇電子\紙質(zhì)→收到證明文件開發(fā)：查詢用戶賬戶及狀態(tài)→查詢理財及存款金額→獲取開立金額→是否凍結(jié)資產(chǎn)→生成電子資產(chǎn)證明① ② ③ ④ ⑤→判斷電子\紙質(zhì)類型→確認(rèn)收貨地址→確認(rèn)證明費用→派發(fā)電子證明\派發(fā)紙質(zhì)工單→流程收尾⑥ ⑦ ⑧ ⑨ ⑩功能點單獨漏洞：①：越權(quán)查詢他人賬戶信息、賬戶ID參數(shù)SQL注入②：越權(quán)查詢他人銀行卡余額、銀行卡號參數(shù)SQL注入⑦：快遞地址XSS漏洞、電子郵箱地址郵件內(nèi)容篡改漏洞⑨：越權(quán)查看他人存款證明、工單號參數(shù)SQL注入應(yīng)用場景的開發(fā)邏輯思考以存款證明場景為例開發(fā)：查詢用戶賬戶及狀態(tài)→查詢理財及存款金額→獲取開立金額→是否凍結(jié)資產(chǎn)→生成電子資產(chǎn)證明① ② ③ ④ ⑤→判斷電子\紙質(zhì)類型→確認(rèn)收貨地址→確認(rèn)證明費用→派發(fā)電子證明\派發(fā)紙質(zhì)工單→流程收尾⑥ ⑦ ⑧ ⑨ ⑩多個功能點造成的邏輯漏洞：②+③+④：凍結(jié)財產(chǎn)金額大于可用資產(chǎn)金額、凍結(jié)財產(chǎn)金額小于開立金額②+③+⑤：電子資產(chǎn)證明資產(chǎn)金額大于可用資產(chǎn)金額⑥+⑦+⑧：通過電子、紙質(zhì)證明金額差異信息及快遞優(yōu)惠信息生成低價或免費證明訂單①+⑤+⑨：異常賬戶可順利開具資產(chǎn)證明應(yīng)用場景的開發(fā)邏輯思考以存款證明場景為例監(jiān)管機構(gòu)要求在開具存款證明前加入安全驗證功能：

短信驗證碼場景

（加入安全場景）開發(fā)：查詢用戶賬戶及狀態(tài)→查詢理財及存款金額→獲取開立金額→是否凍結(jié)資產(chǎn)→生成電子資產(chǎn)證明① ② ③ ④ ⑤→判斷電子\紙質(zhì)類型→確認(rèn)收貨地址→確認(rèn)證明費用→短信驗證碼校驗→派發(fā)證明工單→流程收尾⑥ ⑦ ⑧ ⑨ ⑩ ?短信驗證碼場景正確驗證碼放行短信驗證碼場景正確驗證碼錯誤驗證碼嚴(yán)格校驗驗證碼正確性，無漏洞錯誤驗證碼攔截應(yīng)用場景的開發(fā)邏輯思考以存款證明場景為例開發(fā)：查詢用戶賬戶及狀態(tài)→查詢理財及存款金額→獲取開立金額→是否凍結(jié)資產(chǎn)→生成電子資產(chǎn)證明① ② ③ ④ ⑤⑧⑨⑩直接跳過驗證碼功能，進(jìn)入原有開發(fā)邏輯⑧⑨⑩直接跳過驗證碼功能，進(jìn)入原有開發(fā)邏輯⑥ ⑦ ?單獨看⑨的確沒有問題，但在整個應(yīng)用場景中卻存在漏洞研發(fā)在原有的開發(fā)邏輯上加入短信驗證碼校驗卻沒有修改⑩原有的邏輯，沒有加入是否已經(jīng)校驗短信驗證碼的判斷上下步驟的邏輯校驗在金融系統(tǒng)中很重要每一次對應(yīng)用場景的改動都需要重新校驗真實案例脫敏詳解操作功能

應(yīng)用操作周期跟隨性安全場景

放行 進(jìn)行后續(xù)操功能暫時禁攔截安全場景是為阻止惡意操作者攻擊系統(tǒng)功能保障用戶信息、財產(chǎn)不受侵犯而設(shè)置的“路障”測試邏輯：一切為了繞過“路障”真實案例脫敏詳解——風(fēng)控場景不給風(fēng)控參數(shù)，等于沒有風(fēng)控POST/mbank/tran-019.do?_locale=ZH_CN&version=7.7&riskflag=XXXXX

POST/mbank/tran-019.do?_locale=ZH_CN&version=7.7&riskflag=真實案例脫敏詳解——風(fēng)控場景固定風(fēng)控參數(shù)，等于一片祥和編寫JS腳本，替換不固定的風(fēng)控參數(shù)內(nèi)容，永遠(yuǎn)傳入一個常量值“riskdoc”為AES加密之后的風(fēng)控數(shù)據(jù)“prdToken”在每次API請求后都會由服務(wù)端返回的新值真實案例脫敏詳解——風(fēng)控場景觸發(fā)風(fēng)控，焉知非福密碼校驗失?。ā癱heckstatus”狀態(tài)值），但還是返回了對應(yīng)用戶的全部信息真實案例脫敏詳解——人臉識別場景客戶端降維打擊某人臉識別SDK活體校驗?zāi)K真實案例脫敏詳解——人臉識別場景客戶端降維打擊發(fā)現(xiàn)Class:com.xxx.sdk.live.verify.EyeClose EyeClose請眨眨眼真實案例脫敏詳解——人臉識別場景服務(wù)端降維打擊使用本人真實人臉識別捕獲人臉識別請求數(shù)據(jù)真實案例脫敏詳解——人臉識別場景服務(wù)端降維打擊我們發(fā)現(xiàn)在向“FaceChecking.action”API發(fā)送人臉識別數(shù)據(jù)時，請求數(shù)據(jù)包內(nèi)有兩個重要參數(shù)值其中第一個參數(shù)是“photo”，經(jīng)過分析為用戶無動作時的正臉照片經(jīng)過Base64編碼之后的數(shù)據(jù)我們將其替換為從被攻擊者身份證上截取的本人照片Base64編碼之后的數(shù)據(jù)真實案例脫敏詳解——人臉識別場景服務(wù)端降維打擊第二個參數(shù)是“faceData”，也為Base64編碼之后的數(shù)據(jù)我們解碼之后簡化如下：眼時的照片經(jīng)過Base64編碼之后的數(shù)據(jù),用戶眨眼時的臉部特征值 用戶微笑時的照片經(jīng)過Base64編碼之后的數(shù)據(jù),用戶微笑時的臉部特征值其中涉及到兩張圖片：用戶眨眼時的照片和用戶微笑時的照片我們繼續(xù)將這兩張圖片替換為攻擊者身份證上截取的本人照片Base64編碼之后的數(shù)據(jù)，然后進(jìn)行人臉識別操作：真實案例脫敏詳解——人臉識別場景系統(tǒng)會把當(dāng)前用戶上傳的身份證照片頭像當(dāng)做用戶人臉數(shù)據(jù)，后續(xù)人臉識別將以此作為人臉比對數(shù)據(jù)特殊的人臉識別系統(tǒng)會把當(dāng)前用戶上傳的身份證照片頭像當(dāng)做用戶人臉數(shù)據(jù)，后續(xù)人臉識別將以此作為人臉比對數(shù)據(jù)真實案例脫敏詳解——UKEY場景

UKEY驅(qū)動在本地建立Web服務(wù)與企業(yè)端網(wǎng)銀進(jìn)行全部交互操作真實案例脫敏詳解——UKEY場景UKEY驅(qū)動數(shù)據(jù)交互實現(xiàn)方法為JSONP UKEY驅(qū)動漏洞秒變JSONP跨域漏洞成功實現(xiàn)操作UKEY驅(qū)動任意功能真實案例脫敏詳解需進(jìn)行某操作

單一性、模塊化性功能場景

在約束條件內(nèi)

完成對應(yīng)操作功能場景靈活多樣，交互邏輯各異，不同場景下并沒有固定的漏洞挖掘邏輯不必局限于傳統(tǒng)測試思路，要從找漏洞變成“創(chuàng)造”漏洞or下線真實案例脫敏詳解——數(shù)字人民幣場景其他商業(yè)銀行接入真實案例脫敏詳解——數(shù)字人民幣場景真實案例脫敏詳解——數(shù)字人民幣場景對公錢包來到注冊處輸入錢包ID此時返回錢包預(yù)留的法人信息及手機號全部篡改成自己的數(shù)據(jù)接著系統(tǒng)會判斷錢包是否注冊篡改返回包內(nèi)容成未注冊狀態(tài)按照流程創(chuàng)建支付密碼強制重新注冊錢包信息真實案例脫敏詳解——數(shù)字人民幣場景對公錢包

?付密碼就能夠以把錢轉(zhuǎn)?真實案例脫敏詳解——數(shù)字人民幣場景對私錢包接收驗證碼碼時將接收?機號篡改為??的?機號真實案例脫敏詳解——數(shù)字人民幣場景對私錢包???的?臉去識別 重置完密碼后擁有錢包全部權(quán)限真實案例脫敏詳解——存款場景時長不變:利率變高利率不變:時長變短"depositRate":"1.9""depositRate":"77.7"篡改參數(shù)后重新發(fā)包成功以高利率購買存款產(chǎn)品真實案例脫敏詳解——登錄場景首次登錄情況特殊會有一些列初始化設(shè)置很多人都是初始化完成之后才開始測試很難進(jìn)入到該邏輯中成功重置任意網(wǎng)銀賬戶密碼并使用新密碼登錄真實案例脫敏詳解——登錄場景驗證碼校驗

新設(shè)備登錄手機網(wǎng)銀時需要身份驗證綁定手機雙因子校驗

人臉識別校驗真實案例脫敏詳解——登錄場景密碼登錄之后發(fā)現(xiàn)還要短信驗證碼二次校驗

發(fā)現(xiàn)登錄之后的返回包內(nèi)含有疑似用戶憑證Cookie內(nèi)容猜測二次校驗可被饒過

找到疑似校驗參數(shù)"bindDeviceFlag""bindDeviceFlag":true↓"bindDeviceFlag":false成功繞過二次校驗登錄系統(tǒng)真實案例脫敏詳解——登錄場景登錄返回包內(nèi)有Token值本地安全設(shè)備校驗找到判斷參數(shù)，直接篡改數(shù)據(jù)交叉利?

來到人臉識別登錄模塊點擊進(jìn)行人臉識別并查看對應(yīng)返回包獲取到userId參數(shù)內(nèi)容真實案例脫敏詳解——登錄場景數(shù)據(jù)交叉利?將?臉識別登錄流程中獲取到的值給驗證碼登錄流程使?，成功登錄真實案例脫敏詳解——支付場景最低值邏輯POST/mapp/orderPay.do?prodId=xxxxx&amount=800&count=1

POST/mapp/orderPay.do?prodId=xxxxx&ount=0&count=1真實案例脫敏詳解——支付場景加法邏輯查看數(shù)據(jù)包一共150個參數(shù) 涉訂單金額的參數(shù)有16個真實案例脫敏詳解——支付場景加法邏輯商品原價540元(totalfee)實際付款10元(payment)商家讓利價530元(yieldProfits)530+10=540真實案例脫敏詳解——支付場景減法邏輯

?程序在付款界?同可以使?賬戶余額?真實案例脫敏詳解——支付場景減法邏輯POST/miniapp/action/paymyorder?id=xxx&yuePay=0&cardPay=10HTTP/1.1Host:Connection:closeContent-Length:0Sec-Fetch-Dest:emptyUser-Agent:Mozilla/5.0(WindowsNT6.3;WOW64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/47.0.2526.106Safari/537.36Content-Type:application/x-www-form-urlencodedAccept:*/*Origin:/Sec-Fetch-Site:same-originSec-Fetch-Mode:corsAccept-Encoding:gzip,deflate兩者值必須等于訂單金額10元，否則會報錯真實案例脫敏詳解——支付場景減法邏輯15–5=10POST/miniapp/action/paymyorder?id=xxx&yuePay=0&cardPay