当前位置:首页 >  站长 >  建站经验 >  正文

聚合支付被攻击 订单劫持 数据库被篡改的网站安全防护方案

 2020-01-19 09:47  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

临近春节,某聚合支付平台被攻击篡改,导致客户提现银行卡信息被修改,支付订单被恶意回调,回调API接口的数据也被篡改,用户管理后台被任意登入,商户以及码商的订单被自动确认导致金额损失超过几十万,平台被攻击的彻底没办法了,通过朋友介绍,找到我们SINE安全公司寻求网站安全防护支持,针对客户支付通道并聚合支付网站目前发生被网站攻击,被篡改的问题,我们立即成立了网站安全应急响应小组,分析问题,找到漏洞根源,防止攻击篡改,将客户的损失降到最低。

我们将这次安全处理的解决过程分享出来,也是希望整个支付平台更加的安全。首先对接到客户这面,我们Sinesafe安排了几位从业十年的安全工程师来负责解决此次聚合支付平台被攻击,篡改的安全问题,了解客户支付网站目前发生的症状以及支付存在哪些漏洞,客户说支付平台运营一个月时出现过这些问题,然后在运营的第二个月陆续出现几次被攻击篡改的情况,客户自己的技术根据网站日志分析进攻路线排查加以封堵后,后续两个月支付均未被攻击,就在最近快过年的这几天,支付订单被篡改,很多未支付的订单竟然被篡改为成功支付,并从通道返回成功数据,导致平台损失较大,随即对支付通道进行了暂停,并联系码商停止支付接口。客户还反映支付链接被劫持,跳转到别人那去了,导致很多支付的订单都被支付到攻击者的账户中去了,损失简直不可言语。

很多商户以及集团使用聚合支付平台,那么损失的就是商户与支付平台这两家,商户有些时候对小金额的订单并没有详细的检查,包括支付平台也未对一些小金额的订单仔细的审计,导致攻击者混淆视线模拟正常的支付过程来篡改订单状态达到获取自己利益的目的。支付通道对接,回调下发都是秒级的,支付订单并发太大,几乎人工根本察觉不到资金被盗走,客户从通道对比聚合支付的总账,发现金额不对等,这才意识到网站被黑,被入侵了。

接下来我们开始对客户的网站代码,以及服务器进行全面的人工安全审计,检测网站目前存在的漏洞以及代码后门,客户网站使用的是thinkphp+mysql数据库架构,服务器系统是linux centos使用宝塔面板作为服务器的管理,我们打包压缩了一份完整的聚合支付源代码,包括网站进1个月的访问日志也进行了压缩,下载到我们SINE安全工程师的本地电脑,通过我们工程师的一系列安全检测与日志的溯源追踪,发现了问题。网站存在木马后门也叫webshell,在文件上传目录里发现的,redmin.php的PHP脚本木马,还有coninc.php数据库管理的木马后门,如下图所示:

这个数据库木马后门的作用是可以对数据库的表段进行修改,通过检查日志发现订单支付状态被修改的原因就是通过这个数据库木马后门进行的,对未支付的订单状态进行了数据库的修改,绕过上游通道的回调接口数据返回,直接将状态改为支付成功,并返回到商户那面将充值金额加到了客户网站上,攻击者直接在客户网站上消费并提现,所有的损失都由支付平台承担了。我们SINE安全技术紧接着对支付提交功能代码进行安全审计的时候发现存在SQL注入漏洞,可以UPDATE 恶意代码到数据库中执行,导致可以修改数据库的内容,并生成远程代码下载到网站根目录下,生成webshell文件,TP架构本身也存在着远程代码执行漏洞,导致此次网站被攻击被篡改的根源就在于此,我们立即对该网站漏洞,也算是TP框架漏洞进行了修复,对网站文件目录做了防篡改安全部署,禁止任何PHP文件的生成。

继续安全检测我们发现客户网站的商户以及码商用到的用户登陆功能存在任意登入漏洞,程序员在写代码的过程中未对用户的状态进行判断,导致用户后台被随意登入,攻击者可以登陆后台去确认未支付的订单,直接将订单设为支付成功并返回到商户网站中去,来实现资金的盗取。我们对客户的后台登陆功能进行了修复,对用户的所属权限进行判断,以及数据库密码的效验。至此我们SINE安全技术清除了所有支付平台里存在的木马后门文件,包括网站漏洞都进行了全面的修复,对网站进行全面的加固与防御,如果您的聚合支付,或者是支付通道系统出现被篡改,被攻击的问题,建议找专业的网站安全公司来解决处理,国内SINESAFE,启明星辰,绿盟,深信服都是国内比较专业的,也希望我们这次的安全问题处理过程分享,能让支付平台的网络安全更上一层,平台越安全,我们的支付越安全,资金也就越安全。

作者: websafe    /    文章:108篇

相关标签
数据库设计

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 不同的网站有不同的风格 与产品相结合才能给用户更好的体验

    网站与一个人的穿衣着装一样,具有很多风格。现在大部分网站在建站时,都选择了一种较为大众化的风格,这虽然不算是什么错误,但是显然如果想要让网站更加出彩的话,就需要从设计的角度来为它增色。

  • 如何在win7系统里创建ASP程序测试环境

    因为本身自己是个网页设计师,以前经常会在网上找一些ASP程序代码写的CMS,下载下来到自己的电脑上测试学习使用,所以在网上搜索了一些关于在系统里面创建ASP程序测试环境。

    标签:
    asp建站系统
  • b2b2c多用户商城系统的盈利模式有哪些?看完这个你就懂了!

    竞价排名是按点击付费,广告出现在搜索结果靠前的位置,如果没有被用户点击,不收取广告费。但大多数企业为了促进商城的产品销售,都希望自己的商城网站排名靠前,根据商家缴纳的会员费标准不同决定商城网站在主站中的排名情况,如果排名靠前,买家在搜索对应信息时,你的网站就会排在其第一位,可以让买家第一时间看到。其

  • 搭建网上商城系统要注意哪些事项?

    这个冬季,天气异常寒冷,想买东西,又不想出门怎么办?随着互联网的快速发展,足不出户网上购物已成为一种潮流,而这种新兴的购物方式带动了电商行业的蓬勃发展,涌现出了京东、天猫、聚美优品等电商大佬企业。

  • 模板网站和定制网站哪个好

    互联网+时代,许多公司会通过建设网站,在互联网上扩展其营销渠道,找格子网络建设网站,主要有模板网站和定制网站两大类,那模板网站和定制网站哪个好?今天,格子网络给大家分析下模板网站和定制网站的优缺点,希望能帮到大家,更好的选择。

  • 网站建设前需要搞清楚这几个问题

    对于很多不了解网站的企业而言,建站其实是很简单的,会找一家合适的建站公司,然后将一切事宜都交由其处理,这样做虽然是非常省事,但是企业不去参与其中的建设,那么对网站就不会有了解,后期更多的事项都不能够把控,所以这样的方式不可取,企业建站前要学着了解一些概念性的问题。

    标签:
    网站建设
  • 如何解决网站被DDOS攻击?彻底恢复网站的正常访问

    随之移动互联网数据网络的不断进步,在给大家提供多种多样便捷的另外,DDoS攻击的经营规模也愈来愈大,如今早已进到了Tbps的DDoS攻击时代。DDoS攻击不但经营规模愈来愈大,拒绝服务攻击也愈来愈繁杂,很多传统的ddos攻击安全防护对策已没法解决日渐演变的攻击方法。

    标签:
    ddos攻击
  • 都说做网站能够赚钱?说说我的亲身经历

    常常看到各种网赚,记得以前自己就上过当,受过骗,心心念念的赚钱、赚钱,放到促成了别人赚钱,现在网络上还是充满了各种欺骗,估摸着还是有源源不断的人,会走这么一遭。直到后来,自己开始对互联网有更深的认识,总算是不会轻易的受骗(这都是钱堆出来的,哭,心疼自己3秒),能够看错它到底是不是套路,通过教你赚钱来

  • APP渗透测试流程 漏洞检测与安全加固方面介绍

    目前越来越多的APP遭受到黑客攻击,包括数据库被篡改,APP里的用户数据被泄露,手机号以及姓名,密码,资料都被盗取,很多平台的APP的银行卡,充值通道,聚合支付接口也都被黑客修改过,导致APP运营者经济损失太大,很多通过老客户的介绍找到我们SINE安全公司,寻求安全防护,防止攻击。

  • Css代码中color属性的几种常见用法及区别

    大家在制作网站和编写css代码的时候,经常都会使用到color属性,这也是一个网页在制作中非常常见的属性,但是,就是这样一个最常用的属性也有多种表达方法,可以在不同的时候派上用场。

榜单

热门排行

信息推荐

扫一扫关注最新创业资讯