交易业务安全

大家好，我是讯享网，很高兴认识大家。

业务安全从流程设计维度可划分为账户体系安全、交易体系安全、支付体系安全、用户信息存储安全。后者对普通用户而言基本属于透明状态，对于电商/互联网金融/社交媒体更多面临的业务安全风险集中在账户/交易/支付三个维度内。

1 账户体系安全
账户体系安全在具体的业务细分中，最直接的业务体现则为注册、登录、找密三个主要入口。针对黑产或灰产抑或“羊毛党”的技术面分析主要有以下攻击、薅羊毛行为。

1.1 垃圾注册
垃圾注册主要指通过程序或者纯人力大量注册的非活越账号，这些账号不能直接给平台带来收益确在一定程度上提升运营成本。账号本身可能给注册行为人带去部份收益。P2P金融行业在注册投资回报现金时，经常会出现这类垃圾注册；电商行业主要用于虚假刷单；社交媒体则面临面临垃圾注册用于发送垃圾消息。

1.2 撞库攻击
撞库风险在登录、注册、找密等普遍存在，目前“黑产”主要通过大量泄漏的用户数据，在这些潜在风险的地方，进行账号检存操作，然后通过存在的账号测试对应密码检存；或者寻找无任何防御的登录口进行撞库。

1.4 验证码安全
验证码在设计之初即为区分人与机器，在各类应用中广泛使用用于防护自动化攻击。但目前基于图形验证码安全的防护手段已基本不再属于黑产的障碍，众多的OCR产品以及更为通用的人工码平台，降成本高效率作业。对于有些网站仅采用手机验证码认证作为区分正常用户与“异常”用户，国内也已有非常成熟的“猫池”设备，提供在线手机打码测试。对于团购类、快车等平台，手机小号注册可直接获取巨大利益回报。举例：某团购平台，对于普通用户购买某火锅优惠券需要79元，新用户优惠价格只需要49元。该平台对于业务风控做了设备指纹操作，但依然可以通过模拟器用“手机码”平台进行下单操作。除掉小号成本5块，回报还是挺诱惑的。验证码安全参考

1.5 信息重放
登录/注册/找密等入口，可能通过短信验证码、邮箱验证码之类的进行确认操作，如果末对操作进行次数及频率上的限制，则会产生大量的重放攻击。另外，对于验证逻辑缺陷类的，例如session末及时删除，可能导致验证码被重放，绕过一些人机基础防护等。

2 交易体系安全
交易体系安全主要在电商、金融类发生实际交易的场景下出现，“羊毛党”或者问题商家在交易体系中，存在大量虚拟交易，信息作弊及各类针对活动场景的攻击。

2.1 刷库存
刷库存在电商类网站普遍存在，属于一种业务勒索型攻击。攻击者通过大量购买库存产品，但不发生实际支付行为，让正常用户无法正常购买。通过相对较成本低的价格带动数据增长的新商户而言，遭遇该类勒索型攻击较为常见。

讯享网

2.3 活动作弊
电商类网站在“双十一”之类的各种特殊节日，会推出大量的游戏送抵用券，送红包、送流量、送优惠券等等活动。如某送流量活动，输入手机号，鼠标点击鼓达某个阈值送多少流量，攻击者可直接修改js或者写js自动模拟点击刷活动。再比如，商家为了冲销量，经常举办前几百名免单活动，攻击者通过自动化脚本秒杀商品，大量薅这羊毛。这直接导致商家销售产品存在大量恶意退货、退款，对于正常用户而言，认为自己被耍猴；对于商家投资成本带来的回报与预期有较大出入。

2.4 刷排名
商家通过某些手段，规避虚拟物品限制转换实际产品销售。以处于边界的低价游戏产品，通过叫“白号秒单”(无太多记录的真实账号)的手段，大量刷销量，再更换类目产品，保持各类目都在销量靠前排名靠前，搜索推荐都是这类店铺，给消费者带来较大的损失。

2.5 权限绕过
严格意义来讲业务安全与传统web安全重叠的部份较多。权限绕过这里主要指的是，常见的一类逻辑漏洞。一类是末对用户开放或已下线的的商品，通过id可直接遍历到该商品，然后正常购买；另一类主要指，设计上的缺陷，比如有些卡商，在发的充值券存在一定程序的可推测，或者消费账号可被推测。举例，某游戏激活码简单的组合发售，用户可通过暴力手段，直接用末购买的激活码激活游戏。

2.6 低价购买
某些网站通过id等手段进行价格判断，但存在一定逻辑缺陷。导致可利用低价商品的ID号购买高价值的商品。

2.7 恶意贷款
该种主要存在于P2P类的金融行业，在末知用户信用或真实贷款身份下存的的一类贷款行为，导致坏账率增加。

3 支付体系安全
支付体系在整个交易过程中，视为业务安全里最重要的环节，也是各类风控体系发挥巨大功效的地方。

3.1 数据篡改
在支付过程中，验签不严的情况下，极有可能产生数据篡改伪造。金额任意更改，溢出，负金额等等各种场景。

3.3 套现
套现行为包括：信用卡套现、抵用券套现、类似“京东”白条类信用产品套现。利用平台信用卡套现较为常见，尤其P2P金融和电商普遍存在，通过信用卡支付->提现等。再如抵用券套现，活动支付时购买两件商品，其中一件商品价格用抵用券足够，另外一件走卡支付，这样就可直接无风险套现抵用券。

3.4 支付行为可信
支付确认阶段，商家无法确定支付是否发生于账户真实主人。比如可能来自被盗账户的支付动作，直接导致正常用户资产损失。比如通过信用卡购买商品的后付费用户，攻击者利用盗取的信用卡绑定发生实际购买行为，平台在接受绑定后产生交易。但卡的真实主人申报该购买无效，不愿支付费用。交易已经发生，对于平台来讲就直接造成次产损失，该类攻击并不鲜见。

4 其它业务安全
4.1 垃圾评论
垃圾评论在社交类应用中大量存在，发广告、发敏感信息、灌水等。

4.2 垃圾消息
垃圾消息与垃圾评论基本上属于一类行为，在社交网站、电商网站，通过api接口漏洞，推送广告、钓鱼链接等等。业务层主要体现工单污染。

4.3 信息作弊
信息作弊主要指各类投票数据、集赞、浏览量、粉丝等通过csrf漏洞或者机器自动刷等，造成各类虚拟数据。

相关推荐