眾鼎合聯為企業提供一站式互聯網解決方案
來源:http://www.dqss.net.cn/
聚合支付攻擊 訂單劫持 數據庫篡改的網站安全防護方案
臨近春節,聚合支付平臺被攻擊篡改,導致客戶提現銀行卡信息被修改,支付訂單被惡意回調,回調API界面數據也被篡改,用戶管理背景隨意登錄,商家和代碼訂單自動確認數十萬損失,平臺攻擊完全不可能,通過朋友,找到我們尋求網站安全保護支持,針對客戶支付渠道和聚合支付網站攻擊,篡改,我們立即成立網站安全應急小組,分析問題,找到漏洞,防止攻擊篡改,減少客戶損失。
我們分享了安全處理的解決過程,希望整個支付平臺更安全。首先,我們安排了幾位工作了十年的安全工程師來解決聚合支付平臺受到攻擊和篡改的安全問題,了解客戶支付網站的癥狀和支付存在哪些漏洞。客戶表示,這些問題在支付平臺運營一個月后就出現了,然后在運營的第二個月就被攻擊篡改了好幾次。客戶自己的技術被網站日志分析的攻擊路線屏蔽后,支付在接下來的兩個月里沒有受到攻擊。就在最近幾天,支付訂單被篡改,許多未付訂單被篡改為成功支付,并從渠道返回成功數據,導致平臺損失大。然后暫停支付渠道,聯系代碼提供商停止支付接口。客戶還報告說,支付鏈接被劫持并跳轉到其他人身上,導致許多支付訂單被支付到攻擊者的賬戶。損失是無法形容的。
許多商家和集團使用聚合支付平臺,所以損失是商家和支付平臺,商家有時小訂單沒有詳細檢查,包括支付平臺沒有仔細審計一些小訂單,導致攻擊者混淆視線模擬正常支付過程篡改訂單狀態以獲得自己的利益。支付渠道對接,回調發行為秒,支付訂單并發過大,幾乎手動無法發現資金被盜,客戶從渠道比較總支付賬戶,發現金額不平等,意識到網站被黑客入侵。
接下來,我們開始對客戶的網站代碼和服務器進行全面的人工安全審計,檢測網站的漏洞和代碼后門。客戶網站使用它thinkphp mysql服務器系統是數據庫架構linux centos使用寶塔面板作為服務器管理,我們包裝并壓縮了一個完整的聚合支付源代碼,包括一個月的訪問日志,下載到我們工程師的本地計算機,通過我們工程師的一系列安全測試和日志的可追溯性跟蹤,發現了問題。該網站的木馬后門也被稱為webshell,在文件上傳目錄中發現,redmin.php的PHP腳本木馬,還有coninc.php木馬后門由數據庫管理。
該數據庫木馬后門的功能是修改數據庫的表面段。通過檢查日志,發現訂單支付狀態被修改的原因是通過該數據庫木馬后門修改未付訂單狀態,繞過上游通道的回調接口數據返回,直接將狀態改為成功支付,返回商戶,向客戶網站增加充值金額。攻擊者直接在客戶網站上消費和取款,所有損失均由支付平臺承擔。當我們的技術立即審計支付提交的功能代碼時,我們發現存在SQL注入漏洞,是的UPDATE 惡意代碼在數據庫中執行,導致數據庫內容可以修改,并生成遠程代碼下載到網站根目錄生成webshell文件,TP架構本身也存在遠程代碼執行漏洞,這就是網站攻擊和篡改的根源。我們立即對網站進行漏洞,這也是TP修復框架漏洞,防篡改網站文件目錄,禁止任何安全部署PHP文件的生成。
繼續安全測試我們發現客戶網站商家和代碼業務用戶登錄功能任意登錄漏洞,程序員在編寫代碼過程中不判斷用戶狀態,導致用戶背景隨機登錄,攻擊者可以登錄背景確認未付訂單,直接將訂單設置為支付成功,返回商家網站,實現資金盜竊。我們修復了客戶的背景登錄功能,判斷了用戶的所有權限,以及數據庫密碼的效果。到目前為止,我們的技術已經清除了所有支付平臺中的木馬后門文件,包括網站漏洞,全面加固和防御網站,如果您的聚合支付,或支付渠道系統被篡改,攻擊,建議找到專業的網站安全公司來解決處理,平臺越安全,我們的支付越安全,資金就越安全。