聚合支付平台网站安全漏洞防护防止订单数据被篡改

时间：2020-03-12

2020春节即将来临,收到新第三方支付平台网站客户的安全漏洞问题的求助电话给我们Sinesafe的BOSS,反映支付订单状态被修改由原先未支付修改为已支付,导致商户那边直接发货给此订单会员了,商户和平台的利益收到很大的影响，很多码商都不敢用此支付平台合作了，大体情况了解后我们立即安排成立支付平台安全应急小组。

分析并了解支付过程

我们Sinesafe对整个第三方支付平台网站的流程进行了分析如下,平台首先要对接到上游支付通道,然后由上游支付通道返回支付状态回调到平台，然后由平台的状态返回给商户（也就是码商），首先码商注册好平台的商家用户,然后从商家用户后台获取接口对接程序与码商自己的网站进行对接调试，如果商家会员对订单进行了支付,如果支付成功会回从平台获取支付状态,而平台去从上游通道获取状态来回调到自身平台,目前大部分的接口都是一些PDD通道以及个人二维码对接的企业通道，俗称为聚合支付。

支付漏洞安全原因症状

1.发现在码商下的会员订单并未成功支付导致在平台这里的支付状态被黑客修改为已支付,从而回调数据给商户说明已经支付了,导致订单是成功的状态,商家不得不发货给会员（也就是上分给会员）从而恶意提现导致商家损失严重。

2.发现商户申请提现这里的收款人信息被篡改，导致商户的资金被冒领。很多码商对这一点是非常重视的，几乎都是日结算。而且平台每天放量都是有数量的,几乎都是集团下的在收量,对于资金这一块非常敏感而重视。

3.发现有些订单被删除,导致对账对不起来总是商户结算和上游通道结算的金额不对应,导致盈利少,其实这是因为黑客把订单删除了而商户的成功金额是增加的,但上游通道里的金额是不增加的。

网站漏洞安全日志检查分析

了解上述的问题后,知道了具体的问题发生症状以及支付的整个流程，安排Sine安全工程师团队小组快速响应处理找出漏洞问题关键,把客户的损失降到较低，随即登录了支付平台网站服务器对程序代码做了审计和分析，发现程序用的是TP架构（thinkphp）管理后台和前端都是在一起的，对程序代码功能函数做了对比看支付过程中的函数有无被夸权限调用，发现后台登录这里被做了手脚可以通过内置的函数去任意登录不需要任何密码，如图：

通过get此函数admin_login_test123可以直接任意登录后台。

发现这只是其中一点，后台登录后可以设置订单的状态,但黑客的手法不是这样操作的,因为从后台手动改状态的话那么在支付成功的状态这里的数据库表会增加一个data时间戳，而黑客篡改支付的状态是没有这个时间戳的，说明不是通过后台去修改的，是通过直接执行sql语句或直接修改数据库才达到的，知道问题原因后分析了下程序其他文件看是否有脚本后门,果真发现了phpwebshell后门,其中有好几个后门都是可以直接操作mysql数据库如下：

发现程序里有不少的后门文件以及隐蔽一句话后门木马，通过我们SINESAFE工程师的安全渗透测试发现商户功能图片上传存在漏洞可以任意上传php格式的后门文件，导致被入侵，发现在订单查询功能中存在SQL注入漏洞可以进行updata更新语句去执行数据库修改。随后我们立即对这3个漏洞进行了修复,清理了木马后门和隐蔽后门。让平台开始运营2天观察看看还有无被篡改，至此没再发生过订单状态被篡改的安全问题。

第三方支付平台网站安全防护建议

对新平台的上线前必须要渗透测试漏洞，对sql注入进行语句严格定义和转换，对上传这里的格式进行白名单控制，对网站支付回调和通过获取状态严格做对比，如对sgin做来回匹配比对，签名效验看是否存在被篡改值如果被篡改直接返回数据报错，如果对程序代码安全问题不熟悉不专业的话建议找专业的网站安全公司来处理解决，国内做的比较不错的如Sinesafe,鹰盾安全,绿盟,启**辰等等都是比较大的网站安全服务商。

13280888826

词条
词条说明
网站渗透测试之某cms代码的漏洞分析
客户网站前端时间被攻击，网站被劫持到了赌博网站上去，通过朋友介绍找到我们SINESAFE做网站的安全防护，我们随即对客户网站进行了全面的渗透测试，包括了网站的漏洞检测与代码安全测试，针对于发现的漏洞进行了修复，包括网站安全部署等等方面，下面我们将这一次的安全应急处理过程分享给有需要的客户。首先客户网站采用的架构是PHP语言开发，mysql数据库，使用的是linux centos系统作为网站的运行环
网站安全是什么？简单理解防御一切黑客的攻击
作为一名网络安全工程师，“网站安全”这个词似乎离生活有些遥远，平日里很多人开启计算机较多就是登陆网站、浏览网站，至于网站安不安全，却**关注过。近些年来，网络安全相关话题已经引起了社会的广泛关注，还记得去年暑期大火的偶像连续剧《亲爱的热爱的》讲述了男主希望为中国拿下CTF大赛冠军的梦想之路，CTF在网络安全领域中指的是网络安全技术人员之间进行技术比拼的一种比赛形式，当然，这部剧的成功之处更在于让许
网站漏洞扫描网站安全防护与漏洞扫描的关系
网站漏洞扫描网站安全防护与漏洞扫描的关系网站安全防护和漏洞扫描之间的关系，应该是*和调查人员之间的关系，较终目标是一致的，但实际的工作目标是不同的。网站安全保护包括漏洞扫描，漏洞扫描是网站安全保护的检测工具，可以使网站安全管理人员或网站站长更清楚网站当前的安**力，将面临什么已知的网络攻击风险。漏洞扫描有助于网站安全保护的建设，也有助于日常网络安全监督的重要环节。对于攻击者来说，网站的漏洞是他
网站安全检测网站安全检测渗透的流程
网站安全检测网站安全检测渗透的流程一般全是要对网址的域名及其别的有关信息内容，包含服务器系统、服务器IP、网址应用的主流cms系统软件开展手动式的获得和安全性剖析，来发觉网址的空洞及其服务器的空洞，包含一些服务器的安全系统配置存有难题，或是是服务器安裝的手机软件存有空洞，网址编码存有的空洞，如SQL注入空洞及其XSS跨站攻击空洞，远程执行空洞，csrf欺骗攻击空洞。而这一渗透的全过程都要站到一个