请举一个使用账户支付的例子，说明其支付流程，并指出可能存在支付风险的环节。

2°

广告

支付渠道被攻击了有什么好的办法吗？

小蚁安盾云防御

05-07 09:18

订阅

随着移动支付广泛应用，很多人将支付宝或微信支付当做自己的第二个钱包。但是那么多资金放在移动支付平台上，安全吗？

最近在一档名为《智造将来》中，就特地让黑客攻击支付宝账户，通过WIFI和NFC读卡器窃取了他的手机号和银行卡号，并试图黑进这个账户，结果黑客攻击失败。

知乎一位名为“史中”的网友就提出了这样的解读。面对各种复杂的被攻击情况，支付宝会使用名为“AlphaRisk”的风控系统，可以根据你的设备、环境、使用习惯、账户关系等来判定你的交易安不安全。一旦发现出现资金风险，支付宝会要求使用者进行刷脸人脸活体认证。手机验证码等来确保是你本人在操作。

11元下订锐际，600倍订金膨胀

广告

11元下订锐际，600倍订金膨胀

具体是怎么判读呢？他举了一个例子，如果一个账户平时都是用于小额的日常支付指出，突然转账几万块就属于异常情况之一，另外如果对方的收款账号是新注册的，平时没什么消费交易，也会引起人工智能安全系统的风险怀疑。

分析并了解支付过程

我们Sinesafe对整个第三方支付平台网站的流程进行了分析如下,平台首先要对接到上游支付通道,然后由上游支付通道返回支付状态回调到平台，然后由平台的状态返回给商户(也就是码商)，首先码商注册好平台的商家用户,然后从商家用户后台获取接口对接程序与码商自己的网站进行对接调试，如果商家会员对订单进行了支付,如果支付成功会回从平台获取支付状态,而平台去从上游通道获取状态来回调到自身平台,目前大部分的接口都是一些PDD通道以及个人二维码对接的企业通道，俗称为聚合支付。

支付漏洞安全原因症状

1.发现在码商下的会员订单并未成功支付导致在平台这里的支付状态被黑客修改为已支付,从而回调数据给商户说明已经支付了,导致订单是成功的状态,商家不得不发货给会员(也就是上分给会员)从而恶意提现导致商家损失严重。

2.发现商户申请提现这里的收款人信息被篡改，导致商户的资金被冒领。很多码商对这一点是非常重视的，几乎都是日结算。而且平台每天放量都是有数量的,几乎都是集团下的在收量,对于资金这一块非常敏感而重视。

3.发现有些订单被删除,导致对账对不起来总是商户结算和上游通道结算的金额不对应,导致盈利少,其实这是因为黑客把订单删除了而商户的成功金额是增加的,但上游通道里的金额是不增加的。

网站漏洞安全日志检查分析

了解上述的问题后,知道了具体的问题发生症状以及支付的整个流程，安排Sine安全工程师团队小组快速响应处理找出漏洞问题关键,把客户的损失降到更低，随即登录了支付平台网站服务器对程序代码做了审计和分析，发现程序用的是TP架构(thinkphp)管理后台和前端都是在一起的，对程序代码功能函数做了对比看支付过程中的函数有无被夸权限调用，发现后台登录这里被做了手脚可以通过内置的函数去任意登录不需要任何密码，如图：

通过get此函数admin_login_test123可以直接任意登录后台。发现这只是其中一点，后台登录后可以设置订单的状态,但黑客的手法不是这样操作的,因为从后台手动改状态的话那么在支付成功的状态这里的数据库表会增加一个data时间戳，而黑客篡改支付的状态是没有这个时间戳的，说明不是通过后台去修改的，是通过直接执行sql语句或直接修改数据库才达到的，知道问题原因后分析了下程序其他文件看是否有脚本后门,果真发现了phpwebshell后门,其中有好几个后门都是可以直接操作mysql数据库如下：

发现程序里有不少的后门文件以及隐蔽一句话后门木马，通过我们SINE工程师的渗透测试服务发现商户功能图片上传存在漏洞可以任意上传php格式的后门文件，导致被入侵，发现在订单查询功能中存在SQL注入漏洞可以进行updata更新语句去执行数据库修改。随后我们立即对这3个网站漏洞进行了修复,清理了木马后门和隐蔽后门。让平台开始运营3天观察看看还有无被篡改，至此没再发生过订单状态被篡改攻击的安全问题。

第三方支付平台网站安全防护建议

对新平台的上线前必须要渗透测试漏洞，对sql注入进行语句严格定义和转换，对上传这里的格式进行白名单控制，对网站支付回调和通过获取状态严格做对比，如对sgin做来回匹配比对，签名效验看是否存在被篡改值如果被篡改直接返回数据报错，如果对程序代码安全问题不熟悉不专业的话建议找专业的网站安全公司来处理解决

支付宝这么多资金，为何从来没有受到黑客攻击呢？

马云支付宝里那么多钱，为什么黑客却从不敢攻击？有人说出原因！

到底为何没有黑客攻击支付宝

为什么从没有黑客入侵支付宝？黑客：黑到一半就被马云给录取了

终于明白黑客为什么不敢入侵支付宝了

说白了，黑支付宝跟抢劫银行没什么两样。我们退一万步讲，如果黑客真的能动到支付宝里面的钱，他们敢拿吗？前面我们说到支付宝就跟银行没什么两样，动了支付宝的钱，就从 *** 入侵变成了金融犯罪啊，这是要全球通缉的啊！

支付宝里满满都是钱，那么为什么黑客不黑支付宝？

因为支付宝的防盗系统是非常厉害的，所以黑客及时想要黑进支付宝，也不是那么容易的，所以是没有这个能力，而不是他不想。

黑客为什么不直接黑支付宝？

那是因为黑客都被马云高薪聘请了，可以发挥一技之长，又不犯法

为什么支付宝不会被黑客攻击呢？

因为支付宝的话他会比较安全，所以说他现在不会被黑客攻击。

黑客为什么不攻击支付宝？

您好，其实支付宝一直都在被黑客攻击，只是攻击支付宝本身就需要非常高的技术，普通黑客没这能力，有这能力的顶尖黑客大多又不缺钱，而且入侵的后果很严重，不值得。

主要的也就这几个原因：

1、支付宝有过硬实力，强大的技术

其实根据阿里的数据显示，支付宝一直在被攻击，每天受到攻击次数大概16万次，只是一直没有攻破。支付宝的 *** 安全做得十分到位，配备了专门的 *** 安全部门并且时刻监控支付宝的安全，并且一直都在反攻击。

阿里安全部门的程序员都是世界级水准的顶级精英，这样的一群人打造的产品，想要凭借个人能力打到他们是很难做到的。并且阿里每年不惜耗费大量资金，不停的购买硬件硬件设备，这笔开销就达到惊人的10亿元。

这样的安全防护抗住DDOS 1T的攻击不是问题，全球最多不超过5个黑客能发动这样的攻击。单兵作战更是无法撼动阿里的防御。

2、支付宝的资金流向清楚

即便黑客侥幸入侵成功，进入支付宝的服务器，单单去修改自己余额并没有什么用，因为改完余额还需要好多相关联的数据。

比如每笔资金的来源，一层一级的修改数据，甚至牵扯到好几年前的，数据的量相当庞大。有些数据甚至要牵扯到银行，这样还需要进一步入侵修改银行数据，这是难以做到的。假如不进行这样的关联修改，那么这些数据就不会被备用的服务器认可，所以等于白干。

3、能黑支付宝的都不缺钱，并且入侵后果严重

首先有这个能力黑掉支付宝的大神，基本都不太在乎钱了，有的可能只是想提升一下自己的名气，或者展示一下自己本领的偏执想法。并且入侵支付宝是犯法行为，一旦发生被查出来，估计后半生要在监狱里面度过了。

从以上方面看来，阿里的支付宝系统是非常安全的，无数优秀的精英程序员在看护，还有国家的执法部分在监管。黑客组织和个人的攻击，在阿里面前还是显得微不足道了，所以支付宝足够的安全。

如果你真的有能力攻破阿里的防御系统，估计马云都会拿着几百万的年薪来请你去上班。