日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
看我如何利用Webhook繞過支付請求

寫在前面的話

成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于成都網(wǎng)站制作、網(wǎng)站建設(shè)、惠安網(wǎng)絡(luò)推廣、小程序開發(fā)、惠安網(wǎng)絡(luò)營銷、惠安企業(yè)策劃、惠安品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等,從售前售中售后,我們都將竭誠為您服務(wù),您的肯定,是我們最大的嘉獎;成都創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供惠安建站搭建服務(wù),24小時服務(wù)熱線:18980820575,官方網(wǎng)址:www.cdcxhl.com

在深入了解漏洞獎勵計劃中的安全漏洞時,我們往往需要尋找一些用戶不可見的功能下手。支付Webhook就是一種典型例子,像Stripe或Braintree這樣的支付服務(wù)提供商都會使用這種技術(shù)來將用戶的訂購細(xì)節(jié)告知網(wǎng)站。重要的是,用戶根本不會跟這些Webhook節(jié)點進(jìn)行交互,所有的通信都是在支付提供商和服務(wù)器之間完成的。這也就意味著,很多漏洞Hunter可能從來都不會想到要去測試Webhook功能,這也就會錯過很多潛在的高危漏洞。

漏洞發(fā)現(xiàn)

當(dāng)我在對一個提供了月度訂購服務(wù)的網(wǎng)站進(jìn)行測試時,我恰好得到了該網(wǎng)站內(nèi)部API的開發(fā)文檔。其中有一個節(jié)點吸引了我的注意力,這個節(jié)點(/api/webhooks/stripe)可以接收PUT請求,根據(jù)我之前對支付提供商進(jìn)行安全測試的經(jīng)驗來看,我認(rèn)為如果我可以向這個節(jié)點發(fā)送偽造請求并讓網(wǎng)站認(rèn)為我已經(jīng)完成了支付。

我首先發(fā)送了一個空的JSON請求,隨后服務(wù)器返回了一條錯誤信息。在對該網(wǎng)站W(wǎng)ebhook所使用的Stripe格式進(jìn)行了分析之后,我發(fā)送了包含下列內(nèi)容(body)的JSON請求:

 
 
 
 
      
  
  
  
    2.   
  
  
  
  2.   "payment": { 
    3.   
  
  
  
  3.     "status":"success", 
    4.   
  
  
  
  4.     "provider":"stripe" 
    5.   
  
  
  
  5.   }, 
    6.   
  
  
  
  6.   "id":"..." 
    7.   
  
  
  
    8.

此時服務(wù)器返回的響應(yīng)信息顯示狀態(tài)為“成功”:

 
 
 
 
      
  
  
  
    2.   
  
  
  
  2.   "id":"...", 
    3.   
  
  
  
  3.   "amount":1, 
    4.   
  
  
  
  4.   "status":"success", 
    5.   
  
  
  
  5.   "provider":"stripe" 
    6.   
  
  
  
    7.

就這樣,我的賬號授權(quán)成功了,并且顯示已經(jīng)成功支付了訂閱服務(wù)。這就不得不讓我思考了:現(xiàn)在還有多少網(wǎng)站存在這樣的漏洞?支付服務(wù)提供商如何防止這種漏洞出現(xiàn)呢?

解決方案

實際上,支付提供商是有能力防止這種漏洞出現(xiàn)的,所以我才會驚訝這些節(jié)點竟然沒有受到相應(yīng)的安全保護(hù)。Braintree的實現(xiàn)方案就是正確的:用戶必須通過Braintree的代碼來對傳入的Webhook數(shù)據(jù)進(jìn)行解析,代碼會自動驗證請求的合法性,并提取出JSON body。這樣一來,Webhook節(jié)點就會非常的安全,而且也不會被攻擊者的偽造請求所欺騙。

該網(wǎng)站所使用的支付服務(wù)提供商-Stripe在面對Webhook安全性問題時,并不能保證“萬無一失”。雖然Stripe確實提到了驗證Webhook的簽名,但這只是一種安全建議,他們也并沒有強調(diào)這一點對Webhook安全性的整體安全性有多么重要的影響。除此之外,API文檔中給出的代碼樣例中并沒有包含任何的Webhook簽名認(rèn)證,而是直接對JSON請求進(jìn)行了解析。

默認(rèn)情況下Webhook都是不安全的,這就非常棘手了。在開發(fā)整合了支付的服務(wù)時,用戶往往會采取“阻力”最小的實現(xiàn)方法,因此這意味著很多網(wǎng)站都不會對輸入請求的簽名進(jìn)行驗證。

另一個訂閱支付服務(wù)提供商Recurly利用了HTTP基礎(chǔ)認(rèn)證來在服務(wù)器之間共享一個密鑰,現(xiàn)在可能有人又要問了,難道驗證共享密鑰就不麻煩了嗎…除此之外,Recurly還提供了一個IP地址列表,只有來自這個IP地址列表的Webhook請求才會被認(rèn)為是有效的。但是,這還遠(yuǎn)遠(yuǎn)不夠。比如說,攻擊者可以創(chuàng)建一個單獨的Recurly賬號,然后發(fā)送有效但惡意的Webhook請求,這同樣會引起安全問題。

漏洞線索

在測試跟支付相關(guān)的Webhook漏洞時,我們可以先對那些提供了月度訂閱服務(wù)的網(wǎng)站進(jìn)行分析,這是一條非常有效的線索,因為絕大多數(shù)的支付服務(wù)提供商都沒有針對Webhook來實現(xiàn)足夠有效的安全保護(hù)。

下面我們給出幾種尋找Webhook節(jié)點的方法:

  • 搜索跟“Webhook”或“payment”相關(guān)的JavaScript文件,很多支付網(wǎng)站可能會直接暴露內(nèi)部節(jié)點;
  • 搜索目標(biāo)組織的GitHub代碼庫或相關(guān)文檔,尋找關(guān)于Webhook的相關(guān)引用內(nèi)容;
  • 大多數(shù)Webhook節(jié)點的數(shù)據(jù)格式可能都比較相似,所以我們可以嘗試訪問不同的API節(jié)點來尋找Webhook節(jié)點,比如說/api/stripe/webhook、/api/payments/webhook或/api/stripeWebhook。

總結(jié)

毫無疑問,如果支付網(wǎng)站想要檢測任何可疑的網(wǎng)絡(luò)行為,那么驗證支付Webhook請求絕對是要默認(rèn)進(jìn)行的。雖然有些支付提供商會給用戶提供一些方法來防止這種攻擊,但這仍然需要提供商和客戶的共同努力。


標(biāo)題名稱:看我如何利用Webhook繞過支付請求
瀏覽路徑:http://www.5511xx.com/article/djogpso.html