记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

如何利用Webhooks绕过支付环节

为了深入挖掘bug奖励计划范围内的各种漏洞,很有必要对于那些最终用户不可见的功能进行安全测试。例如,支付webhooks就是这样的一个例子,支付提供商(如Stripe或Braintree)使用它来向网站报告用户订阅详细信息的更新情况。最重要的是,用户从来不会与这些webhook端点直接打交道——所有的通信都发生在支付提供商和服务器之间。换句话说,bug赏金猎人很可能会忽视webhook,这样的话,就更谈不上测试其中潜在的安全漏洞了。挖掘漏洞在针对按月订阅的网站进行测试时,我发现了一份公司内部发行的API文档。其中,最吸引我的一个端点是对/api/webhooks/stripe的PUT请求。根据以往针对付款服务提供商的安
发布时间:2018-03-19 12:20 | 阅读:81179 | 评论:0 | 标签:技术 支付安全 漏洞挖掘

2016年移动安全年报:威胁的全面迁徙

一、序言 安天从2005年开始,每年年初公布年报,对上一年度网络威胁状况进行总结,对威胁演进趋势做出预测。早期安天威胁年报以后台病毒样本捕获分析系统的数据统计为主要支撑。而后我们放弃了罗列数据的风格,走向观点型年报,并分成“基础威胁年报”和“移动安全年报”发布。安天移动安全团队2016年度报告以“威胁的全面迁徙”为主题,以观点的方式来组织内容,用威胁的概念表达归纳安全事态的现象和趋势,并新增“反思”和“应对”两个版块,探寻观点和现象背后的原因,提出应对建议。我们希望通过这份年度报告,向移动安全行业从业者、移动互联网相关企业以及大众用户分享和传达我们的所见、所为及所思。同时这也是安天“移动安全年报”第一次先于“基础威胁年报”公开,本年度的安天“基础威胁年报”承载了更多相对系统而沉重的思考,历经了多个版本的修改,
发布时间:2017-03-13 01:20 | 阅读:126687 | 评论:0 | 标签:行业动态 APT威胁 安天 支付安全 电信诈骗 移动安全年报 移动

2016年安天移动安全年报:威胁的全面迁徙

1 序言  安天从2005年开始,每年年初公布年报,对上一年度网络威胁状况进行总结,对威胁演进趋势做出预测。早期安天威胁年报以后台病毒样本捕获分析系统的数据统计为主要支撑。而后我们放弃了罗列数据的风格,走向观点型年报,并分成“基础威胁年报”和“移动安全年报”发布。安天移动安全团队在本次年度移动安全报告中继续以观点的方式来组织内容,用威胁的概念表达归纳安全事态的现象和趋势,并新增“反思”和“应对”两个版块,探寻观点和现象背后的原因,提出应对建议。我们希望通过这份年度报告,向移动安全行业从业者、移动互联网相关企业以及大众用户分享和传达我们的所见、所为及所思。同时这也是安天“移动安全年报”第一次先于“基础威胁年报”公开,本年度的安天“基础威胁年报”承载了更多相对系统而沉重的思考,历经了多个版本的修改,将稍后发布。  
发布时间:2017-03-11 01:45 | 阅读:187574 | 评论:0 | 标签:行业观点 APT AVL Inside AVL Insight IoT root URL安全性检测 Wi-Fi安全 业务

ISACA挑战安全观 手机支付比传统支付更安全

全球知名IT协会ISACA的一份新研究指出:手机支付安全技术的进步,在控制风险和提高消费者信任上,正将传统塑料制支付卡远远抛在身后。无论消费者还是商家,都能从手机支付中受益。《手机支付是支付安全的赢家吗?》是ISACA于上月发布的一份指南,其中罗列了手机支付相对于物理支付和电子商务交易的数个优势。令牌化、特定于设备的密码和双因子身份验证,被描述为广受消费者和商家欢迎的主要进步。手机支付,在嵌入式、改进的、透明的安全控制辅助下,展现了安全驱动业务的绝佳案例,为赢得终端用户的信任做出了很大贡献。令手机支付技术傲视群雄的几个机制包括:令牌化安全手机支付应用,或者说手机钱包,并不传输银行卡主账号(PAN),而是发送随机产生的令牌到销售终端(POS)和支付网络。这一令牌在传输中保护了消费者的数据。ISACA的指南中写道:
发布时间:2016-08-12 15:05 | 阅读:67326 | 评论:0 | 标签:行业动态 ISACA 支付安全 移动支付

大话Apple Pay(苹果支付)安全

‍‍‍‍‍‍‍‍‍‍9月10日凌晨,苹果发布了最新iPhone和其首款可穿戴设备Apple Watch。但很多分析师却认为苹果新的移动支付服务Apple Pay才是真正的“游戏改变者”。Apple Pay能够使用指纹识别技术Touch ID安全进入。这项服务能够让用户在苹果设备中储存其信用卡账号,并通过点击手机或者智能手表完成支付。‍‍‍‍‍‍苹果是否真的让黑客江郎才尽了?苹果公司正在押宝。最近苹果公司推出了一项新型的安全支付方式-Apple Pay,引发了零售业和科技行业的热议。如果苹果能够正确地实现NFC支付系统,它“绝对”能提高安全性,防止灾难级的信用卡信息泄密事件再次独占新闻头条。在当前泄密成风的环境(哪个国家不泄露个几百万信用卡数据,该国黑客都快抬不起头了)中,安全的运用NFC技术有可
发布时间:2014-09-26 17:55 | 阅读:95866 | 评论:0 | 标签:终端安全 观点 Apple Pay NFC 支付安全

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云