當前位置:
首頁 > 新聞 > OnePlus結賬出現漏洞?論支付中的風險

OnePlus結賬出現漏洞?論支付中的風險

新聞 01-18

介紹

最近,Fidus團隊的成員注意到OnePlus論壇上一個有趣的博客帖子,該帖討論了最近在兩張信用卡上進行的欺詐嘗試。該論壇用戶表示,這兩張卡唯一線上使用的地方是在2017年11月OnePlus網站上,他們繼續詢問該論壇的其他成員是否也有同樣的問題(其他成員也遇到了同樣的問題)。

這一調查結果並沒有證實OnePlus手機已經遭受了攻擊。相反,他們會研究當前的支付流程結構,以及如何實現這一攻擊。

攻擊是怎麼發生的?

我們在OnePlus網站上一步步的完成了整個支付流程,以便了解在這個過程中發生了什麼。有趣的是,請求客戶信用卡詳細信息的支付頁面是在ON-SITE託管的,而不是第三方支付處理程序的iFrame。這意味著所有的支付細節,雖然支付過程短暫,但是通過OnePlus網站,可以被攻擊者攔截。當支付細節被發送到第三方供應商的表單提交時,在數據被加密之前,惡意代碼能夠通過一個窗口竊取信用卡信息。

很快出現了兩個突出的問題:

· OnePlus似乎不符合PCI規範,該網站上沒有在任何地方提到過這個問題

· OnePlus提到他們不處理任何信用卡付款,但是事實並不是這樣

打破付款流程

對於Magento電子商務平台來說,信用卡欺詐並不新鮮。Sucuri在2015年的博客中就談到了這個問題。

攻擊者使用兩種方法從電子商務商店中獲取信用卡信息。第一種是通過客戶端使用Javascript實現。就是通過託管在web頁面上的惡意JavaScript,使客戶的機器在黑客控制的情況下,悄悄地向伺服器發送一個精心設計的請求。此請求包括所有的賬單信息以及信用卡所有的詳細信息。我們查看了OnePlus簽出的頁面源代碼,沒有任何惡意JavaScript被使用的痕迹——這就排除了黑客使用JavaScript的可能性。

Sucuri博客中描述的黑客常用的另一種方法是,修改app/code/core/Mage/Payment/Model/Method/Cc.php文件。這種方法需要對伺服器進行shell訪問,並導致一個嚴重的攻擊。

php文件處理信用卡詳細信息在電子商務web伺服器和第三方支付提供商之間的轉換。攻擊者可以在此文件中放置代碼,允許支付細節被攻擊,並發送到由攻擊者控制的離線位置。由於這一過程是在cc.php內的prepareSave()函數中發生的,因此卡片的細節還沒有被加密,並且處於危險之中。下面是一個惡意代碼示例:

下面的圖片突出顯示了攻擊者能夠對原始信用卡數據進行攻擊。

影響

就目前的情況來看,在OnePlus論壇上關於受影響用戶的調查顯示,有超過39名用戶抱怨最近的欺詐行為。很多Reddit用戶也抱怨過同樣的問題。

twitter用戶也開始質疑這個潛在的問題。

如何保護自己?

防止信用卡欺詐最安全的選擇是使用一個離線(OFF-SITE)支付處理程序,或者是一個提供帶有出賬頁面的iFrame集成的程序。這樣就免除了電子商務網站的所有責任,也意味著萬一出現攻擊,支付數據也是安全的。第三方支付提供商已經創建了PCI兼容的沙箱,目的是為了安全地接受信用卡支付;可以利用該沙箱。

此外,強烈建議對你的電子商務網站進行常規的滲透測試,以發現任何潛在的安全風險。

進一步更新

在對支付系統進行進一步審查時,應該注意的是,OnePlus目前正在使用CyberSource Magento附加組件,如下所示:

在他們的Magento市場頁面上,CyberSource指出所有的數據提交都是在客戶端瀏覽器內完成的,而且從來沒有涉及到電子商務基礎設施(Fidus目前沒有一個環境來測試此聲明)。

如果此聲明是真的,就留下了兩個潛在的攻擊途徑,並排除了Cc.php理論:

· 在OnePlus的電子商務網站上惡意託管JavaScript,已經被移除。嘗試使用Archive.org驗證這個理論,但是支付頁面沒有被編入索引。

· CyberSource本身就是網路攻擊的受害者。如果此聲明是真的,那麼這個問題就比預期的要大得多。

值得注意的是,CyberSource在他們的數據表中有一個聲明:

安全的接受保密命令POST限制了您支付數據的暴露,這降低了您的PCI DSS範圍,因為許多控制可能不再適用。對於某些業務,這可能意味著必須完成PCI-DSS自評估問卷(SAQ),而不是全面的審計。然而,沒有任何支付解決方案會否定驗證遵從性的需求。您應該諮詢您獲取信用卡的銀行,以評估您的組織所要求的遵從級別。

如何利用CyberSource處理支付以及如何利用這一問題

· 當客戶點擊訂單按鈕時,客戶的瀏覽器會向OnePlus電子商務伺服器發送一個請求

· OnePlus電子商務伺服器以HTML的形式響應伺服器,包括支付表單

· 客戶將其支付細節輸入瀏覽器並單擊submit按鈕

· 支付數據直接從客戶的瀏覽器傳輸到CyberSource

在這一點上,OnePlus電子商務伺服器用一個包含支付表單的HTML頁面來響應客戶,惡意的JavaScript可以被注入,以攻擊客戶的任何輸入信息,包括信用卡數據。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

恆星幣也被黑客盯上了,價值40多萬美元的恆星幣被盜

TAG:嘶吼RoarTalk |