乱码乱a∨中文字幕,在线免费激情视频,亚洲欧美久久夜夜潮,国产在线网址

    

  2. <sub id="hjl7n"></sub>
    

    1. <sub id="hjl7n"></sub>
      <legend id="hjl7n"></legend>
      



      
  
      
  

  

  

      


      





    



      
  
      
    


  
      

      



      
  
  
      
    
      當前位置:首頁 > 
        站長 > 
        建站經驗 > 
    正文
    
      
  
  
      
  
    
  
      
    
    
      
      
      
        
      
          
      
            
      聚合支付被攻擊 訂單劫持 數據庫被篡改的網站安全防護方案
      
            
      
               2020-01-19 09:47  來源:
                A5用戶投稿                 
              
              我來投稿

                            撤稿糾錯
            
      
          
      
          
      
            
       
阿里云優(yōu)惠券 先領券再下單

      


            
      臨近春節(jié),某聚合支付平臺被攻擊篡改,導致客戶提現(xiàn)銀行卡信息被修改,支付訂單被惡意回調,回調API接口的數據也被篡改,用戶管理后臺被任意登入,商戶以及碼商的訂單被自動確認導致金額損失超過幾十萬,平臺被攻擊的徹底沒辦法了,通過朋友介紹,找到我們SINE安全公司尋求網站安全防護支持,針對客戶支付通道并聚合支付網站目前發(fā)生被網站攻擊,被篡改的問題,我們立即成立了網站安全應急響應小組,分析問題,找到漏洞根源,防止攻擊篡改,將客戶的損失降到最低。
      

      我們將這次安全處理的解決過程分享出來,也是希望整個支付平臺更加的安全。首先對接到客戶這面,我們Sinesafe安排了幾位從業(yè)十年的安全工程師來負責解決此次聚合支付平臺被攻擊,篡改的安全問題,了解客戶支付網站目前發(fā)生的癥狀以及支付存在哪些漏洞,客戶說支付平臺運營一個月時出現(xiàn)過這些問題,然后在運營的第二個月陸續(xù)出現(xiàn)幾次被攻擊篡改的情況,客戶自己的技術根據網站日志分析進攻路線排查加以封堵后,后續(xù)兩個月支付均未被攻擊,就在最近快過年的這幾天,支付訂單被篡改,很多未支付的訂單竟然被篡改為成功支付,并從通道返回成功數據,導致平臺損失較大,隨即對支付通道進行了暫停,并聯(lián)系碼商停止支付接口??蛻暨€反映支付鏈接被劫持,跳轉到別人那去了,導致很多支付的訂單都被支付到攻擊者的賬戶中去了,損失簡直不可言語。
      

      很多商戶以及集團使用聚合支付平臺,那么損失的就是商戶與支付平臺這兩家,商戶有些時候對小金額的訂單并沒有詳細的檢查,包括支付平臺也未對一些小金額的訂單仔細的審計,導致攻擊者混淆視線模擬正常的支付過程來篡改訂單狀態(tài)達到獲取自己利益的目的。支付通道對接,回調下發(fā)都是秒級的,支付訂單并發(fā)太大,幾乎人工根本察覺不到資金被盜走,客戶從通道對比聚合支付的總賬,發(fā)現(xiàn)金額不對等,這才意識到網站被黑,被入侵了。
      

      接下來我們開始對客戶的網站代碼,以及服務器進行全面的人工安全審計,檢測網站目前存在的漏洞以及代碼后門,客戶網站使用的是thinkphp+mysql數據庫架構,服務器系統(tǒng)是linux centos使用寶塔面板作為服務器的管理,我們打包壓縮了一份完整的聚合支付源代碼,包括網站進1個月的訪問日志也進行了壓縮,下載到我們SINE安全工程師的本地電腦,通過我們工程師的一系列安全檢測與日志的溯源追蹤,發(fā)現(xiàn)了問題。網站存在木馬后門也叫webshell,在文件上傳目錄里發(fā)現(xiàn)的,redmin.php的PHP腳本木馬,還有coninc.php數據庫管理的木馬后門,如下圖所示:
      

      這個數據庫木馬后門的作用是可以對數據庫的表段進行修改,通過檢查日志發(fā)現(xiàn)訂單支付狀態(tài)被修改的原因就是通過這個數據庫木馬后門進行的,對未支付的訂單狀態(tài)進行了數據庫的修改,繞過上游通道的回調接口數據返回,直接將狀態(tài)改為支付成功,并返回到商戶那面將充值金額加到了客戶網站上,攻擊者直接在客戶網站上消費并提現(xiàn),所有的損失都由支付平臺承擔了。我們SINE安全技術緊接著對支付提交功能代碼進行安全審計的時候發(fā)現(xiàn)存在SQL注入漏洞,可以UPDATE 惡意代碼到數據庫中執(zhí)行,導致可以修改數據庫的內容,并生成遠程代碼下載到網站根目錄下,生成webshell文件,TP架構本身也存在著遠程代碼執(zhí)行漏洞,導致此次網站被攻擊被篡改的根源就在于此,我們立即對該網站漏洞,也算是TP框架漏洞進行了修復,對網站文件目錄做了防篡改安全部署,禁止任何PHP文件的生成。
      

      繼續(xù)安全檢測我們發(fā)現(xiàn)客戶網站的商戶以及碼商用到的用戶登陸功能存在任意登入漏洞,程序員在寫代碼的過程中未對用戶的狀態(tài)進行判斷,導致用戶后臺被隨意登入,攻擊者可以登陸后臺去確認未支付的訂單,直接將訂單設為支付成功并返回到商戶網站中去,來實現(xiàn)資金的盜取。我們對客戶的后臺登陸功能進行了修復,對用戶的所屬權限進行判斷,以及數據庫密碼的效驗。至此我們SINE安全技術清除了所有支付平臺里存在的木馬后門文件,包括網站漏洞都進行了全面的修復,對網站進行全面的加固與防御,如果您的聚合支付,或者是支付通道系統(tǒng)出現(xiàn)被篡改,被攻擊的問題,建議找專業(yè)的網站安全公司來解決處理,國內SINESAFE,啟明星辰,綠盟,深信服都是國內比較專業(yè)的,也希望我們這次的安全問題處理過程分享,能讓支付平臺的網絡安全更上一層,平臺越安全,我們的支付越安全,資金也就越安全。
                   
      


                        
            
      

      申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!
      



          
      
        
      
        
                
        
      
          
      
            
      
              
      相關標簽
      
                            
      數據庫設計
      
                          
      
          
      
        
      
                 
        
        
      
          
      相關文章
      
          
      
  
        
      
      • 
            
        
        
      
        
            
        
      
        企查查在MasterGo上搭建設計規(guī)范,節(jié)省80%設計時間
        
      
        經過8年的發(fā)展,企查查已經成為國內TOP級的專業(yè)商業(yè)信息服務平臺。目前,企查查商業(yè)大數據庫涵蓋國內超2億家、國外超2億家的企業(yè)數據,總查詢次數突破10萬億次。
        
            
        
        
        
          
        標簽:
        
                    
        數據庫設計
        
                  
        
      
        
            
        
    
        • 
        
      • 
            
        
        
      
        
            
        
      
        數據庫備份與恢復
        
      
        數據庫是“按照數據結構來組織、存儲和管理數據的倉庫”,是一個長期存儲在計算機內的、有組織的、可共享的、統(tǒng)一管理的大量結構性數據的集合,用戶可以對文件中的數據進行新增、查詢、更新、刪除等操作。
        
            
            
        
    
        • 
        
      • 
            
        
        
      
        
            
        
      
        熱璞分布式事務數據庫HotDB V2.5入圍2019年央采協(xié)議供貨
        
      
        8月21日,中央國家機關政府采購中心發(fā)布了《中央國家機關2019年軟件協(xié)議供貨采購項目中標公告》。本次招標內容共41包,其中數據庫類品目共分3包,包括分析型數據庫、事務型數據庫、分析型數據庫大規(guī)模集群版。?熱璞數據庫有幸被列入事務型數據庫。
        
            
        
        
        
          
        標簽:
        
                    
        數據庫設計
        
                  
        
      
        
            
        
    
        • 
        
      • 
            
        
        
      
        
            
        
      
        國產分析型數據庫強勢崛起 聚云位智詮釋“原創(chuàng)”力量
        
      
        基礎軟件是一個國家信息化發(fā)展的安全根基,然而長期以來,在基礎軟件領域,一直都是歐美人的天下,中國廠商由于在數據庫技術上起步較晚,在基礎軟件領域缺乏話語權,中國則一直扮演著追趕者的角色。
        
            
        
        
        
          
        標簽:
        
                    
        數據庫設計
        
                  
        
      
        
            
        
    
        • 
        
      • 
            
        
      
        PingCAP CEO 劉奇獲 2018 年度拉姆?查蘭管理實踐獎
        
      
        10月26日,由《哈佛商業(yè)評論》中文版主辦的第五屆哈評中國年會在北京四季酒店順利舉辦,被譽為”管理實踐至高榮譽“的拉姆·查蘭管理實踐獎也正式揭曉。PingCAPCEO劉奇以「開源文化驅動產品、管理的創(chuàng)新實踐」案例榮獲2018拉姆·查蘭管理實踐獎創(chuàng)新創(chuàng)業(yè)實踐獎。
        
            
            
        
    
        • 
      
      

      
        
      
        
        
      
          加載更多
        
      
        
      

      

        
        
      

      
      
    
      
      
         
    
      
      
      


      


      
      

      

      
  
      
    
      熱門排行
      
    
  
      
  
      
    
                                  
      
    
      
    
     
  
      

      

      


      
      


      

      
      

      
      

      
      


      

      
      
      
    
      
        
      信息推薦