浅析某城商行手机银行水平授权漏洞问题
-问题现象描述
据报道,某黑客通过软件抓包、PS身份证等非法手段,在某城商行手机银行APP内使用虚假身份信息注册银行Ⅱ、Ⅲ类账户。
其操作方法具体来说,是在注册账户过程中,先输入本人身份信息,待进行人脸识别步骤时,利用软件抓包技术将银行系统下发的人脸识别身份认证数据包进行拦截并保存。
而后,在输入开卡密码步骤,将APP返回到第一步(上传身份证照片步骤),输入伪造的身份信息,并再次进入到人脸识别的身份验证步骤,此时,再上传此前拦截下来的包含其本人的身份信息数据包,使系统误以为要比对其本人的身份信息,然后用本人人脸通过银行系统人脸识别比对,使得成功利用虚假身份信息注册到银行账户。
通过这种操作,成功注册银行Ⅱ类账户76个,然后将包括身份证号、银行卡号、绑定的手机号在内的账户信息打包卖给其他人,共获利22010元。也导致此城商行从2019年1月18日至今一直关闭手机银行APP软件中Ⅱ、Ⅲ类账户开户链接功能。
-问题原因分析
水平越权缺陷漏洞是Web应用常见的业务逻辑漏洞之一。它的形成原因是由于服务器端对客户提出的数据操作请求过分信任,忽略了对该用户操作权限的判定。
攻击者使用一个合法账户,即可对存在越权缺陷漏洞的其他账户数据进行非法的操作,例如查询、插入、删除、修改等常规数据库命令。用户名或者用户ID是Web程序用来判断对哪个账户的数据进行操作的依据,这个参数如果通过客户端来提交,并且Web应用未对该参数做检查校验的情况下,通过修改请求数据中的相应字段则实现越权数据操作。
服务器端系统仅仅对该关键字段进行匹配,并没有验证该关键字段是否属于发起请求的账户,此项安全策略的缺陷就是越权数据操作漏洞的产生的原因。针对该漏洞的攻击者修改请求中的某些关键字段后提交数据,就可以对任意用户的数据进行操作。
通常在实际的Web应用中,不一定是用户名或者用户ID作为数据操作的判断字段,还有可能是其他一些字段。无论是什么字段,存在越权数据操作漏洞的Web应用都没有对它们的账户归属进行判断,没有确认发起请求的账户是否具有操作该数据的权限就允许了数据库去执行相应命令。
-测试手段
在越权漏洞检测方法中,测试人员使用两个以上用户账号,比如使用两个浏览器分别登录两个账号,互相测试是否能对另一方的用户数据进行越权操作。测试人员需要对比testl账户和test2账户的身份识别参数,确保将testl账户的数据操作请求中所有身份识别参数修改为test2账户对应数值。
如果test2账户提交数据能够操作成功;则标记此为水平授权漏洞。
-系统优化方式建议
系统为了防止水平越权漏洞,建议防篡改设计,即客户端发起联机交易点击下一步预处理,服务端产生一个交易流水号,将流水号与交易信息(客户号、身份信息等)存入缓存服务器redis中,客户端提交时传入流水号及交易信息,服务端进行交易数据校验。如校验数据不一致,则判为数据被篡改,直接返回并提示客户。
资源分享
最后感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走…
浅析某城商行手机银行水平授权漏洞问题相关推荐
- 足不出户“逛”银行,37家城商行、农商行手机银行App性能大比拼
互联网的广泛普及,为我国金融业发展及创新变革提供了条件,传统银行正在积极推进数字化转型,力求通过更为先进的技术为用户提供更为优质的体验.作为地方及农村金融的主力军,城商行及农商行(农信社)对促进区域经 ...
- 四大行、城商行等银行都在使用什么数据库?
大数据已经成为国家战略,而大数据首先所面临的问题就是大数据的存储问题,这就绕不开数据库,因为数据库就是用来存储数据的应用软件.任何数据库,都有其优缺点, 无论是传统关系型数据库还是NoSQL数据库又或 ...
- 昆山农商行手机银行服务器证书,昆山农商行网上银行常见问题处理
1.USBKEY密码修改. USBKEY密码在相应的USBKEY管理工具(即USBKEY驱动程序)中进行修改,原始密码为"12345678". 2.USBKEY密码锁定. USBK ...
- 易观千帆 | Q1运营报告:手机银行MAU超5.3亿,行业“内卷”超出想象
易观:由中国电子银行网.易观分析联合发布的"2023中国手机银行综合运营报告"显示:在经济企稳回升的大背景下,中国手机银行第一季度综合运营指数季度内呈平稳上升态势,手机银行活跃人数 ...
- 2022Q4手机银行运营亮点:“新版本迭代潮”叠加“个人养老金账户争夺战”
易观:由中国电子银行网.易观联合发布的"2022中国手机银行综合运营报告"显示:从总体趋势上看,2022年最后一个季度,中国银行业手机银行运营指数呈现逐月回落趋势.对此,易观分析认 ...
- 直销银行:城商行展开渠道反击
自银行诞生以来,从物理网点到网上银行再到现在的手机终端和新型网络平台,渠道的演进从没有影响其重要性.甚至,在大数据时代,渠道对于银行来说除了承担对接客户.吸引客户的作用外,还被赋予了信息搜集的作用,直 ...
- 河北首家城商行传统核心业务国产化,TDSQL突破三“最”为秦皇岛银行保驾护航
11 月 1 日,秦皇岛银行新一代分布式核心系统成功投产并稳定安全运行超过三个月,标志着秦皇岛银行数字化转型应用和服务水平登上了一个新台阶. 这是秦皇岛银行有史以来规模最大.范围最广.难度最高的一次系 ...
- FinTech领域实践:乐维监控助力西南某上市城商行IT运维转型升级!
FinTech领域实践:乐维监控助力西南某上市城商行IT运维转型升级! 项目背景 随着信息化的逐步深入,企业业务运营活动对IT的依赖程度越来越高,传统的局部.粗放.碎片化的IT运维管理模式已经无法满足 ...
- 某城商行与芝麻借呗的联合风控-可可解读【风控双方流程与策略与模型】
某城商行与芝麻借呗的联合风控-可可解读[风控双方流程与策略与模型] 开篇: 首先申明本人未参与该项目,是读了该项目的投稿文章,由于投稿内容曝光有限,本人尽所能根据自己经验和知识进行风控解读,同时提出个 ...
最新文章
- 【 Verilog HDL 】基本运算逻辑的Verilog HDL 模型
- 新的一年,对产品和产品经理的感悟
- 在密码学研究方面不断创新突破—— 女密码学家的成功密码
- 中台是个筐,啥都往里装?
- Android 学习资源[转]
- Spring MVC验证器应用实例(超详细)
- PyQT5 helloworld教程(转载)
- 《Unix/Linux网络日志分析与流量监控》2014年11月底出版
- selenium 学习之路开始了,一遍搬一遍理解学习,加油!!!
- jq select 修改选中_转 jquery操作select(取值,设置选中)
- PostgreSQL 的 window函数
- 面试题汇总-分布式(一)
- PS案例教程:photoshop路径运算和路径组合操作
- sparkStreaming基础知识整理
- 多台计算机直接连接打印机,多台电脑如何连接打印机?
- 派森编程python_派森(Python)编程有什么用?
- 【图形设计】用例图这样画,3步让你做需求分析有理有据
- 认为的文字可编辑的 pdf和图片展示的 pdf 做笔记的方式
- 2022.9.28号,C语言学习小记
- JWT JWS JWE三者区别