关于腾讯财付通的风险化研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在商户系统挑选所需商品。 • 商户系统按照财付通支付请求格式生成订 单确认页面展示给用户 return_url指定支付 成功之后,接收财付通支付结果通知的商 户系统URL。 • 用户确认订单信息,选择支付方式,并确 认提交给财付通。 • 财付通验证交易单信息,生成支付引导页 面展示给用户。
(七)关于财付通安全措施的个人观点
• 我建议大家安装数字证书, 数字证书是预防号被盗后 使用的IP地址不正确,如 果IP地址不正确就不能使 用财付通,所以现在一般 使用财付通是必须要安装 数字证书的。 • 如果申请数字证书用户, 只有安装了证书的电脑才 可以使用支付密码进行交 易,安装证书时要用到您 绑定的手机获取验证码才 可以安装。
接口通知流程
在传送给商户的参数中,包含使用财付通 私钥(非对称加密中的术语)对交易结果 数据的数字签名。商户应该先用财付通的 公钥文件验证该数字签名,确认该通知信 息的合法性。然后完成相关业务逻辑。
(2)输出反馈
财付通要求商户系统return_url输出以下代码: ---------------------------------------------------------------------------------------------<html> <head> <meta name="TENCENT_ONLINE_PAYMENT" content="China TENCENT"> <script language="javascript"> window.location.href='http://show_url'; </script> </head> <body></body> </html> ----------------------------------------------------------------------------------------------
(五)财付通网络支付流程与原理
1. 商户根据客户的支付行为生成订单,包括商户 号,订单号,金额,等支付要素,并提交付款请求。
2. 用户支付成功,财付通采用后台调用方式将支付 结果实时返回商户系统。 3. 商户接收到支付成功请求后,输出反馈信息给财 付通,并完成相关业务逻辑。 4. 财付通接收到商户返回的成功信息,再将用户引 导回商户网站,这里有一个跳转步骤。
财付通不允许在return_url中发生任何跳转,并要求商户系统第一时间输出 <meta name="TENCENT_ONLINE_PAYMENT" content="China TENCENT"> 此为财付通系统判断是否成功返回支付结果的唯一凭证
(3)安全控制
• 财付通采用加密和数字签名认证体系 • 通讯使用SSL协议(128位),对数据进行 加密 • 商户和财付通间数据交互都使用加密,并 使用数字签名进行数据验证,确保数据的 完整性和不可抵赖性。
截至发稿前,360已将腾讯财付通漏洞细节 提交给国家漏洞库和腾讯公司,并向腾讯 公司提供了漏洞修复方案。QQ彩钻、腾讯 拍拍等财付通用户只要正常开启360安全卫 士“木马防火墙”,即可有效拦截腾讯财 付通木马。
(2)腾讯财付通漏洞分析
漏洞名称:财付通数字证书权限控制漏洞 。 漏洞描述:财付通的数字证书可以由个人随意申请, 仅需要绑定一个手机号码,缺乏严格的身份验证 机制。同时,财付通数字证书含有与证书相对应 的私钥,且证书的颁发预期目的是“所有权限”, 这就意味着此证书可以被黑客恶意利用,比如为 木马提供数字签名。目前360云查杀系统已捕获 相应的木马样本,经测试绝大多数杀毒软件无法 防御和查杀此类木马 验证实例:利用财付通漏洞对记事本程序 notepad.exe进行代码签名,数字签名信息如上图:
The end
(上述材料均来自互联网)
度百科)
(四)财付通的意义及国内现状
财付通是经权威机构认证的电子支付平台,同时,这也标志着 经权威机构认证的电子支付平台, 经权威机构认证的电子支付平台 同时,
中国电子支付行业在人们最关心的安全方面开始走向标准化、 中国电子支付行业在人们最关心的安全方面开始走向标准化、 规范化。 规范化。中国国家信息安全评测认证中心按照严格的认证程 对财付通支付系统进行了全面审查, 序,对财付通支付系统进行了全面审查,最终授予其一级安 全认证资格。 作为中国领先的在线支付服务提供商, 全认证资格。 作为中国领先的在线支付服务提供商,财 付通自2005年9月上线以来,在支付系统安全性方面做出了 月上线以来, 付通自 年 月上线以来 诸多努力, 诸多努力,其安全财付通通过了中国国家信息安全测评认证 中心的安全认证,成为国内首家建设一直走在行业的前列: 中心的安全认证,成为国内首家建设一直走在行业的前列: 如财付通采用先进的128位SSL加密技术,确保用户信息安全 加密技术, 如财付通采用先进的 位 加密技术 传输避免窃取; 传输避免窃取;财付通账户特别设置双重密码分别执行一般 操作和支付操作; 操作和支付操作;使用财付通提现时系统会自动检查认证姓 名与银行登记在案的账户姓名是否相符; 名与银行登记在案的账户姓名是否相符;财付通还设置了手 机短信通知的功能, 机短信通知的功能,任何支付操作都会同步发送提示短信供 用户检查……其在安全方面的努力受到个人用户和商业用户 用户检查 其在安全方面的努力受到个人用户和商业用户 的高度首肯。 的高度首肯。 中国国家信息安全评测认证中心是经中央 批准成立的、 批准成立的、代表国家开展信息安全测评认证工作的职能机 其服务范围涉及党政系统、国家关键基础设施、 构,其服务范围涉及党政系统、国家关键基础设施、银行系 统及保险证券系统,它也是国内安全资格认证方面最为权威 统及保险证证书可以由个人 随意申请,仅需要绑定一个手机号码,缺 乏严格的身份验证机制。同时,财付通数 字证书含有与证书相对应的私钥,且证书 的颁发预期目的是“所有权限”,这就意 味着此证书可以被黑客恶意利用,比如为 木马提供数字签名。目前360云查杀系统已 捕获相应的木马样本,经测试绝大多数杀 毒软件无法防御和查杀此类木马 • 验证实例:利用财付通漏洞对记事本程序 notepad.exe进行代码签名,数字签名信息 如下图:
(一)财付通的定义 • 财付通(tenpay)是腾讯公司创办的在线 支付平台。财付通与拍拍网、腾讯QQ有着 很好的融合,按交易额来算,财付通排名 第二,份额为20%,仅次于阿里巴巴公司 的支付宝。
(二)财付通的发展过程
财付通是腾讯公司于2005年9月正式推出专业在 线支付平台,致力于为互联网用户和企业提供 安 全、便捷、专业的在线支付服务 。 财富通于2005年由腾讯公司正式推出,专业的 在线支付服务是财付通获得了业界和用户的一致 首肯,并先后获得2006年电子支付平台十佳奖、 2006年最佳便捷支付奖、2006年中国电子支付 最具增长潜力平台奖和2007年最具竞争力电子 支付企业奖等奖项,并于2007年首创获”国家 电子商务专项基金“资金支持。
• 用户侧支付应答前台调用。 • 商户系统反馈的结果信息给用户。
财 付 通 支 付 流 程
(5)查询流程
• 查询功能是财付通提供的辅助功能,用来协助商户系统处 理网络异常引发的各类掉单问题,商户系统可以根据自己 的需求来开发自己的订单查询功能。商户可以在用户查看 自己购买的物品时触发查询,用户查看自己已经付款的商 品列表。
(三)财付通的支付过程
1、网上买家开通自己的网上银行,拥有自己的网上银行账 户。 2、买家和卖家点击QQ钱包,激活自己的财付通账户。 3、买家向自己的财付通账户充值。资金从自己网上银行账 户划拨到自己的财付通账户。 4、卖家通过中介保护收款功能,选择实体或虚拟物品,如 实填写商品名,金额,数量,类型 提交。提交后系统 将通知买家付款,买家付款以后,系统通知卖家发货 5 5、等待卖家发货。实体物品此时可以点击“交易管理”查 看交易状态,虚拟物品请查收Email,状态以邮件为准。 6、财付通向卖家发出发货通知。 7、卖家收到通知后根据买家地址发送货物。 8、买家收到货物后,登录财付通确认收货,同意财付通拨 款给卖家。 9、财付通将买家财付通账户冻结的应付帐款转到卖家财付 通账户。 10、卖家提现,卖家只需要设置上自己姓名的银行卡就可以 完成提现,没开通网银的卡也可以进行提现。(文本资料来自百
关于腾讯财付通的支付流程和 风险化研究
制作人:丁友根 应用物理10-1 学号:2010303873
研究步骤
• 了解什么是财付通。 • 了解财付通的发展过程。 • 搜寻与财付通相关的材料知道财付通的支 付过程以及其意义和发展趋势。 • 明白财付通的工作原理以及技术支持。 • 分析财付通的技术缺陷和存在潜藏安全隐 患。 • 搜索现在解决安全隐患的措施和自己的个 人见解
• 商户系统对未确定的交易单发起订单查询,按照 查询请求组织请求报文。 • 财付通将查询到的交易信息,返照查询应答格式 组织回应报文,通知商户系统。 • 商户系统验证订单信息,并更新订单状态。 • 商户系统检索已经支付的物品清单,展现给用户。
查 询 流 程
(六)财付通的高危漏洞
(1)新闻摘要:2011年7月7日,360安全中心独家 发现腾讯财付通支付产品出现高危漏洞,导致其 数字签名证书被黑客利用,其危害相当于为木马 病毒颁发了“免死金牌”,主要影响QQ彩钻、腾 讯拍拍,以及接入财付通支付平台的购物网站用 户,目前国内仅360安全卫士能够独家拦截并查 杀此类木马。 据介绍,数字签名相当于软件程序的“身份证”, 当具备有效数字签名的程序运行时,杀毒软件普 遍会自动信任这类程序,无条件予以放行。而腾 讯财付通漏洞是由于其数字签名证书缺乏必要的 安全机制,任何人使用手机就可以申请到;同时, 该证书也没有控制使用权限,可以为任意程序提 供数字签名,包括木马病毒。
• 用户填写付款帐户信息,并确认提交给财付通或
者银行。 • 财付通执行或者接收扣款结果信息,如果失败则 展示支付失败信息给用户如果成功则继续。 • 财付通后台按照支付应答格式通知商户系统支付 成功结果给return_url 。 • 财付通接收商户系统反馈信息,分析报文格式, 如果正确则认为同步成功,取商户反馈的 result_url,并展示给用户否则使用侧支付应答展示 给用户。 • 支付成功结束,展示给用户成功信息。
• 漏洞影响:使用财付通且安装了 Root CA的电脑,如QQ彩钻用户、腾讯拍拍用 户,以及其它接入财付通支付平台的购物网站 用户。 • 防范建议:360木马防火墙能够拦截此类带有财 付通数字签名的木马。同时,网民应注意防范 陌生可疑的下载站提供的文件,上网购物时避 免接收运行陌生人发来的文件。 • 修复方案:财付通对所颁发的数字证书进行预 期目的限制,并对申请人加上必要的身份验证。
(七)关于财付通安全措施的个人观点
• 我建议大家安装数字证书, 数字证书是预防号被盗后 使用的IP地址不正确,如 果IP地址不正确就不能使 用财付通,所以现在一般 使用财付通是必须要安装 数字证书的。 • 如果申请数字证书用户, 只有安装了证书的电脑才 可以使用支付密码进行交 易,安装证书时要用到您 绑定的手机获取验证码才 可以安装。
接口通知流程
在传送给商户的参数中,包含使用财付通 私钥(非对称加密中的术语)对交易结果 数据的数字签名。商户应该先用财付通的 公钥文件验证该数字签名,确认该通知信 息的合法性。然后完成相关业务逻辑。
(2)输出反馈
财付通要求商户系统return_url输出以下代码: ---------------------------------------------------------------------------------------------<html> <head> <meta name="TENCENT_ONLINE_PAYMENT" content="China TENCENT"> <script language="javascript"> window.location.href='http://show_url'; </script> </head> <body></body> </html> ----------------------------------------------------------------------------------------------
(五)财付通网络支付流程与原理
1. 商户根据客户的支付行为生成订单,包括商户 号,订单号,金额,等支付要素,并提交付款请求。
2. 用户支付成功,财付通采用后台调用方式将支付 结果实时返回商户系统。 3. 商户接收到支付成功请求后,输出反馈信息给财 付通,并完成相关业务逻辑。 4. 财付通接收到商户返回的成功信息,再将用户引 导回商户网站,这里有一个跳转步骤。
财付通不允许在return_url中发生任何跳转,并要求商户系统第一时间输出 <meta name="TENCENT_ONLINE_PAYMENT" content="China TENCENT"> 此为财付通系统判断是否成功返回支付结果的唯一凭证
(3)安全控制
• 财付通采用加密和数字签名认证体系 • 通讯使用SSL协议(128位),对数据进行 加密 • 商户和财付通间数据交互都使用加密,并 使用数字签名进行数据验证,确保数据的 完整性和不可抵赖性。
截至发稿前,360已将腾讯财付通漏洞细节 提交给国家漏洞库和腾讯公司,并向腾讯 公司提供了漏洞修复方案。QQ彩钻、腾讯 拍拍等财付通用户只要正常开启360安全卫 士“木马防火墙”,即可有效拦截腾讯财 付通木马。
(2)腾讯财付通漏洞分析
漏洞名称:财付通数字证书权限控制漏洞 。 漏洞描述:财付通的数字证书可以由个人随意申请, 仅需要绑定一个手机号码,缺乏严格的身份验证 机制。同时,财付通数字证书含有与证书相对应 的私钥,且证书的颁发预期目的是“所有权限”, 这就意味着此证书可以被黑客恶意利用,比如为 木马提供数字签名。目前360云查杀系统已捕获 相应的木马样本,经测试绝大多数杀毒软件无法 防御和查杀此类木马 验证实例:利用财付通漏洞对记事本程序 notepad.exe进行代码签名,数字签名信息如上图:
The end
(上述材料均来自互联网)
度百科)
(四)财付通的意义及国内现状
财付通是经权威机构认证的电子支付平台,同时,这也标志着 经权威机构认证的电子支付平台, 经权威机构认证的电子支付平台 同时,
中国电子支付行业在人们最关心的安全方面开始走向标准化、 中国电子支付行业在人们最关心的安全方面开始走向标准化、 规范化。 规范化。中国国家信息安全评测认证中心按照严格的认证程 对财付通支付系统进行了全面审查, 序,对财付通支付系统进行了全面审查,最终授予其一级安 全认证资格。 作为中国领先的在线支付服务提供商, 全认证资格。 作为中国领先的在线支付服务提供商,财 付通自2005年9月上线以来,在支付系统安全性方面做出了 月上线以来, 付通自 年 月上线以来 诸多努力, 诸多努力,其安全财付通通过了中国国家信息安全测评认证 中心的安全认证,成为国内首家建设一直走在行业的前列: 中心的安全认证,成为国内首家建设一直走在行业的前列: 如财付通采用先进的128位SSL加密技术,确保用户信息安全 加密技术, 如财付通采用先进的 位 加密技术 传输避免窃取; 传输避免窃取;财付通账户特别设置双重密码分别执行一般 操作和支付操作; 操作和支付操作;使用财付通提现时系统会自动检查认证姓 名与银行登记在案的账户姓名是否相符; 名与银行登记在案的账户姓名是否相符;财付通还设置了手 机短信通知的功能, 机短信通知的功能,任何支付操作都会同步发送提示短信供 用户检查……其在安全方面的努力受到个人用户和商业用户 用户检查 其在安全方面的努力受到个人用户和商业用户 的高度首肯。 的高度首肯。 中国国家信息安全评测认证中心是经中央 批准成立的、 批准成立的、代表国家开展信息安全测评认证工作的职能机 其服务范围涉及党政系统、国家关键基础设施、 构,其服务范围涉及党政系统、国家关键基础设施、银行系 统及保险证券系统,它也是国内安全资格认证方面最为权威 统及保险证证书可以由个人 随意申请,仅需要绑定一个手机号码,缺 乏严格的身份验证机制。同时,财付通数 字证书含有与证书相对应的私钥,且证书 的颁发预期目的是“所有权限”,这就意 味着此证书可以被黑客恶意利用,比如为 木马提供数字签名。目前360云查杀系统已 捕获相应的木马样本,经测试绝大多数杀 毒软件无法防御和查杀此类木马 • 验证实例:利用财付通漏洞对记事本程序 notepad.exe进行代码签名,数字签名信息 如下图:
(一)财付通的定义 • 财付通(tenpay)是腾讯公司创办的在线 支付平台。财付通与拍拍网、腾讯QQ有着 很好的融合,按交易额来算,财付通排名 第二,份额为20%,仅次于阿里巴巴公司 的支付宝。
(二)财付通的发展过程
财付通是腾讯公司于2005年9月正式推出专业在 线支付平台,致力于为互联网用户和企业提供 安 全、便捷、专业的在线支付服务 。 财富通于2005年由腾讯公司正式推出,专业的 在线支付服务是财付通获得了业界和用户的一致 首肯,并先后获得2006年电子支付平台十佳奖、 2006年最佳便捷支付奖、2006年中国电子支付 最具增长潜力平台奖和2007年最具竞争力电子 支付企业奖等奖项,并于2007年首创获”国家 电子商务专项基金“资金支持。
• 用户侧支付应答前台调用。 • 商户系统反馈的结果信息给用户。
财 付 通 支 付 流 程
(5)查询流程
• 查询功能是财付通提供的辅助功能,用来协助商户系统处 理网络异常引发的各类掉单问题,商户系统可以根据自己 的需求来开发自己的订单查询功能。商户可以在用户查看 自己购买的物品时触发查询,用户查看自己已经付款的商 品列表。
(三)财付通的支付过程
1、网上买家开通自己的网上银行,拥有自己的网上银行账 户。 2、买家和卖家点击QQ钱包,激活自己的财付通账户。 3、买家向自己的财付通账户充值。资金从自己网上银行账 户划拨到自己的财付通账户。 4、卖家通过中介保护收款功能,选择实体或虚拟物品,如 实填写商品名,金额,数量,类型 提交。提交后系统 将通知买家付款,买家付款以后,系统通知卖家发货 5 5、等待卖家发货。实体物品此时可以点击“交易管理”查 看交易状态,虚拟物品请查收Email,状态以邮件为准。 6、财付通向卖家发出发货通知。 7、卖家收到通知后根据买家地址发送货物。 8、买家收到货物后,登录财付通确认收货,同意财付通拨 款给卖家。 9、财付通将买家财付通账户冻结的应付帐款转到卖家财付 通账户。 10、卖家提现,卖家只需要设置上自己姓名的银行卡就可以 完成提现,没开通网银的卡也可以进行提现。(文本资料来自百
关于腾讯财付通的支付流程和 风险化研究
制作人:丁友根 应用物理10-1 学号:2010303873
研究步骤
• 了解什么是财付通。 • 了解财付通的发展过程。 • 搜寻与财付通相关的材料知道财付通的支 付过程以及其意义和发展趋势。 • 明白财付通的工作原理以及技术支持。 • 分析财付通的技术缺陷和存在潜藏安全隐 患。 • 搜索现在解决安全隐患的措施和自己的个 人见解
• 商户系统对未确定的交易单发起订单查询,按照 查询请求组织请求报文。 • 财付通将查询到的交易信息,返照查询应答格式 组织回应报文,通知商户系统。 • 商户系统验证订单信息,并更新订单状态。 • 商户系统检索已经支付的物品清单,展现给用户。
查 询 流 程
(六)财付通的高危漏洞
(1)新闻摘要:2011年7月7日,360安全中心独家 发现腾讯财付通支付产品出现高危漏洞,导致其 数字签名证书被黑客利用,其危害相当于为木马 病毒颁发了“免死金牌”,主要影响QQ彩钻、腾 讯拍拍,以及接入财付通支付平台的购物网站用 户,目前国内仅360安全卫士能够独家拦截并查 杀此类木马。 据介绍,数字签名相当于软件程序的“身份证”, 当具备有效数字签名的程序运行时,杀毒软件普 遍会自动信任这类程序,无条件予以放行。而腾 讯财付通漏洞是由于其数字签名证书缺乏必要的 安全机制,任何人使用手机就可以申请到;同时, 该证书也没有控制使用权限,可以为任意程序提 供数字签名,包括木马病毒。
• 用户填写付款帐户信息,并确认提交给财付通或
者银行。 • 财付通执行或者接收扣款结果信息,如果失败则 展示支付失败信息给用户如果成功则继续。 • 财付通后台按照支付应答格式通知商户系统支付 成功结果给return_url 。 • 财付通接收商户系统反馈信息,分析报文格式, 如果正确则认为同步成功,取商户反馈的 result_url,并展示给用户否则使用侧支付应答展示 给用户。 • 支付成功结束,展示给用户成功信息。
• 漏洞影响:使用财付通且安装了 Root CA的电脑,如QQ彩钻用户、腾讯拍拍用 户,以及其它接入财付通支付平台的购物网站 用户。 • 防范建议:360木马防火墙能够拦截此类带有财 付通数字签名的木马。同时,网民应注意防范 陌生可疑的下载站提供的文件,上网购物时避 免接收运行陌生人发来的文件。 • 修复方案:财付通对所颁发的数字证书进行预 期目的限制,并对申请人加上必要的身份验证。