白泽带你读论文 | Messy States of Wiring: Vulnerabilities in Emergin

如需转载请注明出处，侵权必究。

       本文发表于USENIX Secuirty 2021，第一作者是路易斯安那大学拉法叶分校 (University of Louisiana at Lafayette)的Jiadong Lou。

        文章关注于新兴支付服务形式，即通过利用额外的订单管理系统，允许个体商户在第三方平台上利用个人转账服务来支持商业交易的个人支付系统（PPS）。文章对35个PPS进行了系统研究，覆盖到11740个商户与2000多万客户。通过检查文档、可用的源代码和演示，提取了PPS的通用抽象模型，并发现了现有个人支付协议设计和系统实现中的七类漏洞。为了进一步剖析这些潜在的漏洞，文章提出了相应的攻击方法并进行了四次成功的真实攻击，同时也负责任地披露了这些新发现的漏洞。

◽ MC：商户客户端，用户可以在这里浏览商品并下订单。

◽ MS：是承载客户端内容的商户服务器。它还负责处理订单和确认订单的付款状态。

◽ CS：管理不同账户之间的货币交易，并提供跟踪支付状态的能力。在第三方开立商业账户。

对于第三方支付平台的商业账户来说，订单管理是服务的一部分，是紧密集成的。因此，MC和MS只需与第三方系统交互即可上传并获取支付和订单状态，并支付商定的费用。

◽ 订单生成：买方下订单后，付款信息将发送至CS，同时订单信息将传输至PMP。

◽ 订单查询：MS生成查询请求，由PMP提供历史订单查询服务。

文章根据漏洞模式将漏洞分为了两类，PPS协议漏洞与实现漏洞。

◽ PPS协议漏洞：由于支付协议中的不安全设计所造成，商家很难自行纠正。在文章提到的七个漏洞中，未受保护的密钥更改API、令牌生成中的简单字符串串联、基于MD5的令牌生成、缺少订单检查机制以及订单查询API未查询付费属于这一类。

文章依据前面总结的PPS抽象实现流程，对七大漏洞进行了展开分析：

◽ 未受保护的密钥更改API漏洞：PPS的API允许预认证的密钥更改请求，攻击者只需要商户ID来更改密钥。商户ID在设计上不是秘密，可以通过检查订单包获得。对于新密钥不包含在回复中的PPS，攻击者则可以利用其web访问接口频繁更改密钥，以中断商户操作并实现DoS攻击。

文章根据攻击动机将前文提到的五大攻击分为了三类，恶意用户攻击、面向受害者的攻击和面向商家的攻击：

◽ 面向商家的攻击：此类攻击者的主要目标是从互联网攻击商户或其他用户，而不访问受害者的流量或设备。恶意密钥更改属于此类型。

    作者在实证研究中，通过调查PPS的使用情况并检测潜在的漏洞，暴露了PPS中存在的安全问题。接着，通过展示对一些真实PPS支付应用程序的攻击，来表明暴露的漏洞可能会在真实交易中造成严重后果。具体的实证研究流程如下：

◽ 数据集收集：通过互联网搜索和与PPS常用关键字匹配的论坛主题，如“个人收款”、“安全支付接口”、“免签证”等，收集到了35个PPS系统。其漏洞分布情况如下图所示，其中橙色方框表示PPS具有相应的漏洞，红色方框表示PPS已根据作者的反馈修复了漏洞。

文章提到，所有实验都是攻击作者自己的测试账户，同时会向所有被攻击的供应商报告测试过程和结果，以便他们能够降低攻击带来的影响。还会通过关闭测试账户来减轻攻击产生的财务影响。

◽ 字符串移位攻击：作者选择了Paysapi网站执行字符串移位攻击，目的是向注册帐户充值一定金额，但支付的金额低于该金额。分析得知Paysapi有一种易受攻击的令牌生成方法，该方法在散列之前简单地将所有字段连接在一起，即易受前文讨论中的字符串移位攻击。作者在Paysapi用户界面的输入字段中键入30元人民币，并将此订单请求发送给商户。商户将订单数据包发送回到用户界面后，使用Fiddler 4工具截获数据包，同时阻止用户将其发送到Paysapi服务器。之后手动将订单数据包的价格字段中的字符“0”移动到returnu url字段的开头，然后将新数据包转发到Paysapi服务器。付款界面只需3元人民币即可显示付款成功，出于道德考虑，未使用该测试购买任何商品。

◽ 密钥修改攻击：文章共执行两个真正面向商家的攻击，第一个攻击的目标是禁用商家的服务，第二个攻击的目标是窃取密钥。商户账户在两个不同的PPS上注册，即Paysapi和Xunhupay，Paysapi在回复中包含新密钥，而Xunhupay没有。对于Xunhupay的测试，通过商户门户登录，看到当前密钥“r7Ep7kymuyQQE6taVQNF”。之后注册账户并单击更改按钮。同时，使用Fiddler 4工具监控请求包，以便将密钥更改传输到PPS。PPS将密钥更改为“HitchavcyIcv24xjdcwry”。刷新其配置文件页面才能看到此新密钥。之后从监控数据包中提取商户ID信息，伪造一个新的请求数据包，并将其发送给PPS。PPS继续将密钥更改为“Tk7pK5BneK2373NuU76E”。由于PPS没有向注册账户发送密钥更改的响应数据包，商户的服务将被禁用，直到他刷新其个人资料页面以通知密钥已更改。对于Paysapi的测试遵循与上述实验相同的步骤，由于Paysapi在响应中包含密钥，只需检查密钥更改响应，就可以窃取新密钥。

◽ MD5碰撞攻击：攻击的博客网站使用Paysapi提供的支付服务，其token生成机制将价格直接安排在可选字段“ReturnURL”前面。使用Fiddler 4工具捕获正常订单包即可获得ReturnURL，从而可以收集执行MD5冲突攻击的参数。之后使用github上的开放资源来计算所选前缀MD5冲突块。冲突块没有JSON关键字，MD5值相同为“9f1ec604dce1bc0b1dd368dda3dd44”。接着通过在博客上付款，并阻止MC发送给MS的网络数据包。修改价格和ReturnURL字段。订单数据包在MS签名并发送回MC后，再次阻止并捕获其从MC到PMP服务器的传输。使用十六进制编辑器打开阻止的订单包，并用“0.01”元的冲突块替换价格和notifyURL。该订单通过了PPS认证，支付界面成功发送回网站，实现了以更低的价格完成支付。

◽ 对于商户：密钥决不能存储在客户端；订单参数应在服务器上生成和签名；在收到付款通知时检查每个订单的实际付款金额。

◽ 对于用户：始终检查付款归属信息；避免通过不安全的链接付款。

文章首次剖析了新兴支付模式——个人支付系统（PPS）的内部结构，并提出了这一新支付系统的通用抽象模型。基于对个人支付系统（PPS）的分析，发现了7种易受攻击的漏洞，并提出了5种利用这些漏洞的新攻击方法。文章还进行了实证研究，分析了35个使用最广泛的个人支付系统（PPS）中的支付服务，并揭示了与所发现的7种漏洞相对应的安全问题。在实证研究中对采用PPS的网站进行了四次真实的攻击，以证明所发现的漏洞。之后按照负责任的漏洞披露做法，报告了发现的所有设计缺陷，并与一些供应商合作修复了这些漏洞。最后为了缓解这些漏洞，还进行了root cause analysis(根本原因分析)，并讨论了如何保护个人支付的生态系统。

商户需要注册两个账户，一个是在第三方支付平台（即CS）上的个人账户，另一个是在订单管理平台（PMP）上的商户商业账户。

买方下订单后，付款信息将发送至CS，同时订单信息将传输至PMP。在CS中进行合同付款后，PMP将通知MS继续订单流程。

在订单和支付管理流程中添加独立的PMP，是该生态系统中独特的设计元素，可以避免交易费用。为了获得支付状态，PMP的商户账户必须在CS上对转账事件进行监控。

在35个PPS平台中，有17个PPS使用HTTP协议为密钥更改响应提供数据包。这17个PP都以明文形式将新密钥放置在响应包中。因此，从理论上讲，采用其支付服务的商家面临着密钥嗅探攻击的风险。但因为密钥嗅探攻击对检测MS和PMP之间的通道有严格的要求，在安全分析中并没有提到这种微不足道的攻击。

文案：CQT

排版：YST

戳“阅读原文”即可查看论文原文哦~

复旦白泽战队

一个有情怀的安全团队

还没有关注复旦白泽战队？

公众号、知乎、微博搜索：复旦白泽战队也能找到我们哦~