WEB安全新玩法 [10] 防范竞争条件支付漏洞
服务器端业务逻辑,特别是涉及数据库读写时,存在着关键步骤的时序问题,如果设计或代码编写不当就可能存在竞争条件漏洞。攻击者可以利用多线程并发技术,在数据库的余额字段更新之前,同时发起多次兑换积分或购买商品请求,从中获取利益。本文将讨论如何简单地使用 iFlow 应用安全加固平台的可编程特性,对竞争条件产生的支付漏洞进行防护。
一、原始网站
这是一个在支付环节存在竞争条件漏洞的站点:用户输入一个支付数值,系统将这个数值与余额比较,如果支付数值小于余额则允许支付,并从余额中减去支付数值。
攻击者编写并执行了一个 Python 攻击脚本,使用多线程并发对支付请求 URL 进行访问。由于未能正确处理竞争条件问题,系统为多个请求同时扣除了余额。我们回到浏览器中刷新页面,可以发现余额变为了 -10 元,如下图所示。
HTTP 交互流程如下:
participant 攻击者
participant 浏览器
participant 攻击工具
participant Web服务器
participant 数据库
攻击者->>浏览器: 点击“竞争条件-支付”链接
浏览器->>Web服务器: GET /race_condition/pay.php
数据库->>Web服务器: 读取金额
Web服务器->>浏览器: 返回“竞争条件-支付”页面
浏览器->>攻击者: 显示:余额为10元
攻击者->>攻击工具: 执行多线程并发请求
rect rgb(250, 128, 128)
攻击工具->>Web服务器: POST /race_condition/pay.php
Web服务器->>数据库: 余额足够,扣除支付金额
攻击工具->>Web服务器: POST /race_condition/pay.php
Web服务器->>数据库: 余额足够,扣除支付金额
攻击工具->>Web服务器: POST /race_condition/pay.php
Web服务器->>数据库: 余额足够,扣除支付金额
end
攻击者->>浏览器: 点击“竞争条件-支付”链接
浏览器->>Web服务器: GET /race_condition/pay.php
数据库->>Web服务器: 读取金额
Web服务器->>浏览器: 返回“竞争条件-支付”页面
浏览器->>攻击者: 显示:余额为-4元
二、iFlow虚拟补丁后的网站
我们在 Web 服务器前部署 iFlow 业务安全加固平台,它有能力拦截、计算和修改双向 HTTP 报文并具备存储能力,成为 Web 应用的虚拟补丁。本例中,iFlow 使用一个全局唯一的定时标志来阻止对并发请求的同时处理。
每个支付请求到来时,iFlow 都会检查定时标志是否存在。只有标志不存在时才交给 Web 服务器处理这个请求,并同时设置定时标志。在定时期间,如有其他支付请求到来,而 iFlow 检查到定时标志存在,则会放弃处理这个请求,将用户重定向到指定页面。定时结束后,系统则又可以处理下一个支付请求。
HTTP 协议交互过程如下:
participant 攻击者
participant 浏览器
participant 攻击工具
participant iFlow
participant Web服务器
participant 数据库
攻击者->>浏览器: 点击“竞争条件-支付”链接
浏览器->>Web服务器: GET /race_condition/pay.php
数据库->>Web服务器: 读取金额
Web服务器->>浏览器: 返回“竞争条件-支付”页面
浏览器->>攻击者: 显示:余额为10元
攻击者->>攻击工具: 执行多线程并发请求脚本
攻击工具->>iFlow: POST /race_condition/pay.php
Note over iFlow: 设置定时标志
iFlow->>Web服务器: POST /race_condition/pay.php
Web服务器->>数据库: 余额足够,扣除支付金额
rect rgb(250, 128, 128)
攻击工具->>iFlow: POST /race_condition/pay.php
end
Note over iFlow: 定时标志存在,重定向页面
rect rgb(250, 128, 128)
攻击工具->>iFlow: POST /race_condition/pay.php
end
Note over iFlow: 定时标志存在,重定向页面
攻击工具->>iFlow: POST /race_condition/pay.php
Note over iFlow: 定时标志超时后不存在
iFlow->>Web服务器: POST /race_condition/pay.php
Web服务器->>数据库: 余额不足,不执行支付
攻击者->>浏览器: 点击“竞争条件-支付”链接
浏览器->>Web服务器: GET /race_condition/pay.php
数据库->>Web服务器: 读取金额
Web服务器->>浏览器: 返回“竞争条件-支付”页面
浏览器->>攻击者: 显示:余额为0元
代码
iFlow 内置的 W2 语言是一种专门用于实现 Web 应用安全加固的类编程语言。它介于配置和通用语言之间,具备编程的基本要素和针对 HTTP 协议的特有扩展,能为业务系统编写涉及复杂判断和动态修改的逻辑。
考虑到安全产品的使用者通常为非程序员,他们习惯面对配置文件而非一段代码。因此,W2 语言虽包含语言要素,仍以规则文件方式呈现,并采用可以体现层次结构和方便词法校验的 JSON 格式。
用 W2 语言实现上述虚拟补丁的代码如下:
{
"if": [
"REQUEST_FILENAME == '/race_condition/pay.php'",
"REQUEST_METHOD == 'POST'"
],
"then": {
"if": "GLOBAL.pay_time_flag",
"then": {
"verdict": {
"action": "redirect",
"param": "/retry.html"
}
},
"else": "GLOBAL.pay_time_flag@2=1"
}
}
示例代码中,当服务器端收到支付请求时,iFlow 拦截此请求。iFlow 会检查全局 (GLOBAL) 存储变量 pay_time_flag
是否存在:如存在,则重定向到页面 /retry.html
(向正常用户提示稍后重试);如不存在,则设置一个生命时长为2秒 (数值可根据实际请求处理所需时间调整) 的存储变量 pay_time_flag
。
注意:上述会话中的
pay_time_flag
是保存在服务器端的 iFlow 存储中的,攻击者在浏览器端是看不到数据更无法进行修改的。
三、总结
使用 iFlow 书写一条规则,即可实现在设定时间内只允许处理一个请求,避免竞争条件带来的异常处理。(张戈 | 天存信息)
WEB安全新玩法 [10] 防范竞争条件支付漏洞的更多相关文章
- WEB安全新玩法 [6] 防范图形验证码重复使用
在完成关键业务操作时,要求用户输入图形验证码是防范自动化攻击的一种措施.为安全起见,即使针对同一用户,在重新输入信息时也应该更新图形验证码.iFlow 业务安全加固平台可以加强这方面的处理. 某网站系 ...
- WEB安全新玩法 [2] 防范前端验证绕过
用户登录,几乎是所有 Web 应用所必须的环节.Web 应用通常会加入一些验证手段,以防止攻击者使用机器人自动登录,如要求用户输入图形验证码.拖动滑动条等.但是,如果验证的逻辑仅仅在前端执行,是很容易 ...
- WEB安全新玩法 [5] 防范水平越权之查看他人订单信息
水平越权是指系统中的用户在未经授权的情况下,查看到另一个同级别用户所拥有的资源.水平越权会导致信息泄露,其产生原因是软件业务设计或编码上的缺陷.iFlow 业务安全加固平台可以缓解部分场景下的水平越权 ...
- WEB安全新玩法 [4] 防护邮箱密码重置漏洞
大部分具有账号系统的应用都会提供重置用户登录密码的功能,常见方式之一是:用户输入自己的邮箱地址或手机号,应用向这个邮箱或手机号发送验证码,用户将收到的验证码输入应用中即可完成密码重置.这一过程容易因设 ...
- WEB安全新玩法 [1] 业务安全动态加固平台
近年来,信息安全体系建设趋于完善,以注入攻击.跨站攻击等为代表的传统 Web 应用层攻击很大程度上得到了缓解.但是,Web 应用的业务功能日益丰富.在线交易活动愈加频繁,新的安全问题也随之呈现:基于 ...
- WEB安全新玩法 [9] 重置密码之验证流程防绕过
一般来说,业务流程中出现多个操作环节时,是需要顺序完成的.程序设计者往往按照正常用户的操作顺序实现功能,而忽略了攻击者能够绕过中途环节,直接在后续环节上进行非法操作.iFlow 业务安全加固平台能够在 ...
- WEB安全新玩法 [3] 防护交易数据篡改
在任何涉及交易的系统中,客户与商家之间的交易数据具有核心作用,如购买商品的价格.数量.型号和优惠券等.在客户挑选商品的过程中,这些交易数据逐渐形成:待客户提交订单时,交易数据被商家接收,形成双方认可的 ...
- WEB安全新玩法 [8] 阻止订单重复提交
交易订单的重复提交虽然通常不会直接影响现金流和商品流,但依然会给网站运营方带来损害,如消耗系统资源.影响正常用户订单生成.制造恶意用户发起纠纷的机会等.倘若订单对象是虚拟商品,也有可能造成实际损失.订 ...
- 自定义 checkbox 新玩法 ?
自定义 checkbox 新玩法 ? 第一步:selector 编写 drawable/selector_checkbox_voice.xml <?xml version="1.0&q ...
随机推荐
- mysqldump 使用规范
数据库很重要,没有备份,数据丢失只能跑路.所以还是做好备份吧! 目录 一.工具介绍 二.工具特点 三.备份权限 四.工具使用限制 五.已知BUG 六.备份前注意事项 6.1 需要长时间备份或导入时,请 ...
- 【题解】 hdu2955 Robberies
有抱负的罗伊·劫匪已经看过很多美国电影,他知道坏人通常会被抓住,经常是因为他们太贪心了.他决定在银行抢劫案中工作一段时间,然后退休后到一所大学从事一份舒适的工作. 题目: 罗伊去几个银行偷盗,他既想多 ...
- noip2012 总结
Vigenère 密码 题目描述 16 世纪法国外交家 Blaise de Vigenère 设计了一种多表密码加密算法――Vigenère 密码.Vigenère 密码的加密解密算法简单易用,且破译 ...
- oracle中job无法正常运行,如何排查
1.生产环境Oracle中的job无法正常运行 select * from dba_jobs_running;(查看正在运行的job) 2.select * from dba_jobs(查看job历史 ...
- mybatis-generator的使用心得
之前开发了一个亚健康测评系统,使用的是SSM框架,里面第一次使用到了mybatis-generator逆向代码生成工具,很方便,省去了基本的增删改查的mapper文件及sql的编写,还能避免错误,这里 ...
- 痛并快乐的YOLO初体验
1.前言 最近因为需要研究视频的物体识别和行为识别,上网了解了一下,YOLO是目前实时视频物体识别的应用最广泛的算法. 因此,作为小白的我,也准备体验一下YOLO算法的效果. 先上网了解了一下YOLO ...
- 解决 Golnag Gin框架跨域
package main import ( "github.com/gin-gonic/gin" "awesomeProject/app/app_routers" ...
- 4.13、nfs挂载优化及优缺点
1.硬盘:sas/ssd磁盘,买多块,硬件raid5/raid0,网卡吞吐量要大,至少千兆(多网卡bond0) 2.nfs客户端挂载说明: 文件系统有自己的权限,挂载是建立在文件系统之上的,然后更改挂 ...
- AD设计中地铜突然消失且无法选中删除的解决办法
作者:struct_mooc 博客地址: https://www.cnblogs.com/structmooc/p/14984466.html 前几天在设计一块电路板的时候,已经全部设计完了!但是 ...
- 明明是企业管理软件,CRM系统为何被抵触?
小编在昨天的文章<CRM系统为什么没有达到预期效果?>中曾说过,CRM客户管理系统没有达到预期效果的其中一个原因是CRM系统的使用率太低,而根本的原因是员工的抵触.明明是企业管理大师,CR ...