当前位置: 首页 > article >正文

业务视角下的金融SRC快速挖掘思路

0x01 简介挖掘金融类漏洞的核心不仅仅是技术点本身更需要深入理解业务链路、资金流转规则、风控策略与账户体系从而在“设计缺陷”中找到突破点。本文总结梳理常见的金融逻辑漏洞类型及关键节点的可利用点帮助安全人员深入理解这些场景快速定位高价值逻辑漏洞大大提升漏洞挖掘效率和准确度减少资损信息泄露等高危问题的发生。本文仅用于技术学习与合规交流严禁非法滥用。因违规使用产生的一切后果由使用者自行承担与作者无关。现在只对常读和星标的才展示大图推送建议大家把渗透安全HackTwo“设为星标”否则可能就看不到了啦末尾可领取挖洞资料0x02 正文详情注册开户场景首先我们来了解一下开户场景的大概流程绕过信息校验开户正常开户申请一般需要手机号邮箱验证作为必填项但往往只是在前端进行校验符合正则格式则通过校验手机号、邮箱、身份证号由于传过来的字段存在可选填项如推荐码等后端往往不会硬性要求全部字段都取后端只会拿传过来的部分这时候去掉手机相关字段仍可以正常开户KYC信息复用伪造攻击者可利用已认证的同一套资料如身份证正反面、人脸信息去注册第二个账户正常上传证件信息会对图片进行统一化格式处理然后sdk加签存到数据库中然后调用ocr对图片进行信息提取再去比对校验如下图为上传证件信息的api接口会返回一个加密的filekey文件名很多时候后端为了节省资源开销会优先调用缓存数据库结果判断是否已经上传过这时候就会导致一个证件信息可以开多个账户申请状态查询越权我们渗透时候可以找到“申请/状态查询”相关接口或页面修改post参数重放请求id、orderNo、ticketId、userId等观察响应是否返回不同用户的数据或敏感字段然后利用自动化脚本/爆破可预测 ID如下面这个例子存在 request_id可通过遍历request_id获取其他用户手机号、身份证和银行卡信息支付场景高并发下单/提现后端没有加分布式锁会导致重复下单 / 重复提现攻击者可使用burp一秒内提交多次订单连续发起多笔提现成功创建多笔提现订单负值反冲在支付或退款接口中如果传入的金额参数为负数且后端没有严格校验金额必须为正可能导致用户账户余额不减反增金融类转账严格要求不能为负数当修改金额为负数时就会导致负值反冲int64 导致金额溢出金融系统常见操作金额 × 精度比如 ×10000 或 ×100000金额求和累计 risk amounttransfer/settlement 金额偏大企业/跨境/贷款/还款如果攻击者传入一个极大的数值可能导致系统计算时溢出变成一个负数或一个很小的数repayAmount : precision.ConvertAmountByBase( bo.RepayAmount.String(), eaBo.MoneyMultiBase, ) userName, email : f.getUserInfo(ctx, userInfo) now : time.Now() provisionExpireTime : f.getProvisionExpireTime(ctx, bo.ChannelId, bo.UserId, bo.PlatformUserId, now) paymentExpireTime : f.getPaymentExpireTime(ctx, bo.ChannelId, now)常见于后端使用 int64 处理金额int64 的范围有限只有 9.22e18金额乘倍率比如 ×100000后很容易超过这个范围一旦超过CPU 会直接把高位截掉并且go不会自动检查溢出传参过大会导致 price / amount 可被改为负数、0.01 等篡改参数免手续费进行转账在涉及外币或虚拟币的交易中攻击者尝试修改接口中传输参数使最终结算金额显著降低计算最终金额的时候会有很多参数参与运算如渠道、汇率等这时候可以尝试纂改相关参数免除手续费转账时如果传入xx_id值为0的情况下使后端 ampaign_result.code 0 , 导致可以实现无手续费进行转账if remittanceTicketReq.GetFeeWaivedAmount() ! 0 { if remittanceTicketReq.GetCampaignId() { logger.Error(ctx, format: invalid_fee_xxx_id) return common.ErrWalletInvalidRequestParam } }优惠券场景优惠券码爆破优惠券码未采用加密并且没配置网关限流策略导致可以高并发遍历通过对voucher_code进行遍历根据回显字段长度不同判断优惠券是否存在如下图存在为820、819不存在为798优惠券无锁限制重复领取优惠券核销时系统未严格校验该券的唯一使用记录或总使用次数加锁安全的情况func applyCouponWithLock(amount float64) float64 { coupon.mu.Lock() // 加锁 defer coupon.mu.Unlock() // 解锁 discounted : amount - coupon.Discount if discounted 0 { discounted 0 } coupon.UsageCount return discounted }后端未加锁导致可以重复领取func applyCoupon(amount float64) float64 { discounted : amount - coupon.Discount if discounted 0 { discounted 0 } atomic.AddInt64(coupon.UsageCount, 1) return discounted }优惠券叠加使用系统允许用户在单笔订单中同时使用多张原本设计为互斥或限用一张的优惠券正常单张使用多张优惠券叠加使用信息查询场景越权查询他人敏感信息金融类对越权漏洞是十分严格的像一般的越权查看个人信息、订单是渗透测试的必测项目例如用户 A 在查询自己的信息时通过修改请求参数为用户 B 的订单 ID成功查询到用户 B 的账单信息稍微复杂一些的隐藏参数情况函数实现是优先从post传参userid去查询的然后再去解token提取uid进行查询但是正常调用的时候post传入的是{}因此走到第二优先级的解token提取uid进行查询那我们该如何去挖掘这类的漏洞呢我们可以通过搜集history返回包中的参数组成字典去fuzz如下图返回包中有userphone、uid、role等字段通过fuzz发现uid可作为查询参数越权查询他人的信息TocToB网关配置错误接口混用在 gRPC Gateway 架构里越权问题通常发生在普通用户能调用原本只允许管理员的 RPC 方法。生成的 HTTP 路由没有绑定权限检查任何人都能访问Gateway 没加角色校验或者拦截器配置错误token 可以被忽略或者被默认当作 admin假设admin管理端域名为a.comtoc用户端域名为b.com通过burp history导出一份a.com右键选中 save item导出对应的xml文件导出文件格式还需要做进一步的处理Base64 解码将 XML 中的request元素的内容进行 Base64 解码解码得到完整的 HTTP 请求内容。解析请求根据 HTTP 请求格式第一行包含了请求方法和路径例如POST /api/login HTTP/1.1提取/api/login提取 POST 数据通过检查是否遇到 HTTP 请求头结束标志\r\n\r\n来提取请求体写入 CSV 文件将提取到的请求方法、API 路径和 POST 数据写入到 CSV 文件中导出文件命名为burp_history.xml导出文件为burp_history.csv脚本文件import os import xml.etree.ElementTree as ET import csv import base64 input_file burp_history.xml output_file burp_history.csv if os.path.exists(output_file): try: os.rename(output_file, output_file) except PermissionError: print(f文件 {output_file} 正在被占用请关闭相关程序后重试。) exit(1) tree ET.parse(input_file) root tree.getroot() try: with open(output_file, modew, newline, encodingutf-8) as csvfile: csv_writer csv.writer(csvfile) csv_writer.writerow([Method, API Endpoint, POST Content]) for item in root.findall(./item): request_element item.find(request) if request_element is not None and request_element.text: try: request_data base64.b64decode(request_element.text).decode(utf-8, errorsignore) except Exceptionas e: print(fBase64 解码失败: {e}) continue header_body_split request_data.split(\r\n\r\n, 1) if len(header_body_split) 2: headers header_body_split[0] body header_body_split[1].strip() header_lines headers.split(\r\n) if header_lines: first_line header_lines[0].strip() parts first_line.split( ) if len(parts) 2: method parts[0].upper() path parts[1] else: method UNKNOWN path first_line post_content body if method POSTelse csv_writer.writerow([method, path, post_content]) else: csv_writer.writerow([ERROR, INVALID REQUEST, ]) else: csv_writer.writerow([ERROR, EMPTY REQUEST, ]) print(f已成功将数据整理为 {output_file}) except PermissionError: print(f无法创建或写入文件 {output_file}请检查权限。) except Exceptionas e: print(f发生意外错误{e})处理效果intruder测试选择Pitchfork模式进行发包payload encoding取消勾选开始测试资源存储场景合同资料遍历获取合同、发票等敏感文件存储在一个可预测的路径下如/docs/contract/2025/ID_0001.pdf攻击者通过爆破或递增 ID 的方式可批量下载其他用户的合同文件S3存储桶配置不当/泄露许多金融机构使用云存储服务如 AWS S3 或阿里云 OSS来存储文件。如果存储桶 Bucket 的权限配置错误如设置为 Public Read可能导致所有存储的资料对外公开。https://github.com/dark-kingA/cloudToolsSSRF及绕过服务端存在可发起外部网络请求的接口如图片加载、URL 抓取。攻击者利用此接口让金融服务器作为跳板访问其内网敏感资源或未授权的云服务 API。但通常企业内部会有白名单域名当我们请求的url匹配则可以绕过检测成功触发dnslog使用第三方厂商开发JWT/密码硬编码未修改某盘系统中系统初始化的工程中定义了默认值的appid和jwttoken加密密钥导致攻击者可以利用该密钥伪造任意用户的 JWT Token从而绕过身份验证机制运维后门第三方运维有时候为了方便更新维护会在内部脚本、后端代码中直接引用外部 URL 来获取密码例如curl http://password.example.com/db-prod-pass wget http://x.x.x.x/getKey?envprod这种设计虽然便于统一管理但等同于主动为攻击者开放后门接口下面就是从SSO外部接口获取最新系统密码的实战例子0x03 总结挖金融 SRC 其实就像拆盲盒盯着开户、支付、优惠券这三大块猛冲就对了。前端校验随便绕、并发没锁随便刷、金额负值能反冲优惠券叠着用更是家常便饭。只要摸透业务套路避开风控套路高危漏洞随手就来主打一个懂业务比纯堆技术更吃香轻松实现 SRC 快速上分。最后愿各位师傅在后续挖洞之路中精准定位漏洞、高效挖掘天天出高危、次次有收获挖洞顺利、不踩坑、多拿奖励共同提升支付业务安全测试能力喜欢这类文章或挖掘SRC技巧文章师傅可以点赞转发支持一下谢谢

相关文章:

业务视角下的金融SRC快速挖掘思路

0x01 简介挖掘金融类漏洞的核心不仅仅是技术点本身,更需要深入理解业务链路、资金流转规则、风控策略与账户体系,从而在“设计缺陷”中找到突破点。本文总结梳理常见的金融逻辑漏洞类型及关键节点的可利用点,帮助安全人员深入理解这些场景&am…...

Akagi麻将AI助手:从新手到高手的终极免费训练工具

Akagi麻将AI助手:从新手到高手的终极免费训练工具 【免费下载链接】Akagi 支持雀魂、天鳳、麻雀一番街、天月麻將,能夠使用自定義的AI模型實時分析對局並給出建議,內建Mortal AI作為示例。 Supports Majsoul, Tenhou, Riichi City, Amatsuki,…...

靠谱的安卓安全加固公司怎么选?从价格、案例到合同避坑的完整指南

当你准备为公司核心的App采购安全加固服务时,意味着你已经进入了“货比三家”的决策阶段。你不再满足于看宣传册,而是开始关心:这家公司报价多少?案例是否真实?合同里有没有隐藏条款?售后响应速度究竟如何&…...

Windows Cleaner终极指南:如何快速释放C盘空间并提升系统性能

Windows Cleaner终极指南:如何快速释放C盘空间并提升系统性能 【免费下载链接】WindowsCleaner Windows Cleaner——专治C盘爆红及各种不服! 项目地址: https://gitcode.com/gh_mirrors/wi/WindowsCleaner 你是否曾经遇到过这样的困扰&#xff1a…...

反Hook和普通加固有什么区别?一文读懂2026年移动应用防护新趋势

“我们App已经用混淆工具‘加固’过了,还需要专门做反Hook吗?” 这是很多刚接触移动安全的开发者或企业管理者最常问的问题。在他们看来,把代码弄乱一点,别人就看不懂了,App就安全了。然而现实是,仅仅依靠传…...

选SSD别再只看品牌了!搞懂SLC、MLC、TLC的物理区别,省电又耐用

选SSD别再只看品牌了!搞懂SLC、MLC、TLC的物理区别,省电又耐用 每次打开电商平台的SSD商品页面,总能看到各种让人眼花缭乱的参数:读写速度、TBW寿命、IOPS性能...但最核心的NAND闪存类型却往往被淹没在营销话术中。作为一位经历过…...

暗黑2自动化终极指南:告别手动刷怪,用Botty轻松获取稀有装备

暗黑2自动化终极指南:告别手动刷怪,用Botty轻松获取稀有装备 【免费下载链接】botty D2R Pixel Bot 项目地址: https://gitcode.com/gh_mirrors/bo/botty 还在为暗黑2中重复刷怪感到疲惫吗?Botty是一款专为《暗黑破坏神2:重…...

Go语言的sync.Map迭代

Go语言中的并发安全映射:sync.Map迭代探秘 在并发编程中,共享数据的安全访问是核心挑战之一。Go语言标准库提供的sync.Map专为高并发场景设计,其线程安全的特性使其成为替代传统map的优选方案。sync.Map的迭代操作与传统map存在显著差异&…...

工控机常见故障及排除方法有哪些(工控机常见的故障维修方法有哪些

大家好,我是阿强,在工控厂商行业摸爬滚打了 17 年,从开始的学徒到现在负责技术支持,见过太多工业现场的 "惊魂时刻"。很多时候,一条生产线因为一台工控主机突然故障停摆,每分钟都在产生真金白银的…...

Dify插件调试效率提升300%:Chrome DevTools深度联动+本地热重载调试全链路揭秘

第一章:Dify插件开发入门与核心架构解析Dify 插件机制是其扩展能力的核心支柱,允许开发者以标准化方式接入外部服务、增强 LLM 应用的上下文感知与执行能力。插件基于 OpenAPI 3.0 规范定义接口契约,并通过 Dify 平台统一注册、鉴权与编排&am…...

从混乱到清晰:TOP课程Git学习资源链接优化全指南

从混乱到清晰:TOP课程Git学习资源链接优化全指南 【免费下载链接】curriculum The open curriculum for learning web development 项目地址: https://gitcode.com/GitHub_Trending/cu/curriculum GitHub推荐项目精选(cu/curriculum)是…...

【Qt 应用开发】Qt 日志系统进阶:从 QDebug 到 QCritical 的实战配置与性能优化

1. Qt日志系统深度解析:从基础到实战 第一次接触Qt日志系统时,我也曾被各种输出宏搞得晕头转向。直到在项目中踩过几次坑后才明白,合理的日志配置能节省80%的调试时间。Qt提供了qDebug、qInfo、qWarning、qCritical四个级别的日志输出&#x…...

别再只会让电机转!用STM32和Proteus深度模拟28BYJ-48步进电机的加减速曲线与堵转检测

基于STM32的28BYJ-48步进电机高级控制:S形曲线与堵转检测实战 在嵌入式开发领域,步进电机控制常被视为入门级项目——接上驱动模块,写几行代码让电机转动似乎就大功告成。但当我们把场景切换到实际产品中,粗暴的启停控制和速度突变…...

别再死记硬背了!用生活中的例子帮你彻底搞懂HFSS边界条件(理想E/H、阻抗、集总RLC)

用厨房电器和家具秒懂HFSS边界条件:硬件工程师的生存指南 刚接触HFSS时,那些边界条件总让我想起第一次进高端厨房的体验——面对各种看不懂的按钮和术语,连最简单的煮鸡蛋都可能搞砸。就像电磁仿真中,选错一个边界条件&#xff0c…...

AvalancheGo网络通信:P2P协议和消息队列的实现原理

AvalancheGo网络通信:P2P协议和消息队列的实现原理 【免费下载链接】avalanchego Go implementation of an Avalanche node. 项目地址: https://gitcode.com/gh_mirrors/ava/avalanchego AvalancheGo是Avalanche节点的Go语言实现,其网络通信系统基…...

从设计到测试:聊聊DFT工程师如何在芯片里‘埋’下Scan-FF这根‘暗线’

从设计到测试:DFT工程师如何精准部署Scan-FF技术链 在芯片设计的世界里,可测试性设计(DFT)就像给复杂电路装上"透视镜",而Scan-FF技术则是这面镜子的核心光学组件。当一颗芯片包含数十亿晶体管时&#xff0c…...

告别电脑!用iOS快捷指令给你的手机浏览器装个“开发者模式”

用iOS快捷指令打造移动端网页调试神器:零代码实现元素修改与数据抓取 在咖啡馆等方案时突然发现网页文案有误?通勤路上需要紧急抓取竞品价格数据?传统移动端浏览器缺乏开发者工具总让人束手无策。其实你的iPhone里藏着一位"隐形开发者&q…...

从技术幕后到价值核心:金融思维如何重塑软件测试者的职业未来

一扇被悄然推开的门当代码的严谨逻辑与资本市场的瞬息万变相遇,会碰撞出怎样的火花?一个看似与技术圈层格格不入的趋势正在蔓延:那些站在技术金字塔尖的开发者,正将目光投向金融领域。这并非不务正业,而是一场深刻的价…...

手把手教你用Keil MDK5和STM32F103ZET6给LVGL v7.1.0安个家(附DMA加速技巧)

STM32F103ZET6实战:Keil MDK5环境下的LVGL v7.1.0移植与DMA加速全解析 当一块800480的LCD屏幕遇上仅有64KB RAM的STM32F103ZET6,图形界面开发似乎成了不可能的任务。这正是LVGL(Light and Versatile Graphics Library)展现魔力的…...

FPGA实战避坑:从一次复位信号不稳定说起,手把手教你实现异步复位同步释放

FPGA复位设计实战:从亚稳态陷阱到异步复位同步释放的完整解决方案 复位信号:FPGA设计的隐形守护者 在FPGA开发中,复位信号就像交响乐团的指挥棒,确保所有寄存器从已知状态开始协调工作。我曾在一个图像处理项目中遇到诡异现象&…...

AD9361官方例程里的Cache操作详解:为什么DMA传输后必须调用Xil_DCacheInvalidateRange?

AD9361高速数据流中的Cache一致性陷阱:从DMA传输异常看Zynq缓存机制 在基于Zynq SoC和AD9361的射频系统中,许多开发者都遇到过这样的诡异现象:PL端通过DMA将ADC采样数据准确写入DDR后,PS端CPU读取的却是一堆"过时"数据。…...

3步搭建你的AI化学助手:ChemCrow让复杂化学问题变简单

3步搭建你的AI化学助手:ChemCrow让复杂化学问题变简单 【免费下载链接】chemcrow-public Chemcrow 项目地址: https://gitcode.com/gh_mirrors/ch/chemcrow-public 还在为复杂的化学计算和分子分析烦恼吗?ChemCrow AI化学助手来了!这是…...

离散选择模型中的‘极值’秘密:为什么Gumbel分布是Logit模型的基石?

离散选择模型中的‘极值’秘密:为什么Gumbel分布是Logit模型的基石? 在交通规划中选择公交还是地铁?在市场营销中预测消费者会购买A品牌还是B品牌?这些看似简单的二选一问题背后,都隐藏着一个强大的统计学工具——离散…...

3种方法解锁赛博朋克2077存档修改:从新手到专家的完整指南

3种方法解锁赛博朋克2077存档修改:从新手到专家的完整指南 【免费下载链接】CyberpunkSaveEditor A tool to edit Cyberpunk 2077 sav.dat files 项目地址: https://gitcode.com/gh_mirrors/cy/CyberpunkSaveEditor 赛博朋克2077存档编辑器(Cyber…...

用Docker搞定Android 13源码环境:告别宿主机污染,实现一键编译

用Docker容器化Android 13源码编译环境:隔离与效率的终极实践 在Android系统开发领域,源码编译环境的搭建一直是个令人头疼的问题。传统方式直接在物理机或虚拟机上配置环境,不仅容易导致系统污染,还会因为依赖冲突而耗费大量调试…...

3大秘诀:如何用NHSE彻底改变你的动物森友会游戏体验

3大秘诀:如何用NHSE彻底改变你的动物森友会游戏体验 【免费下载链接】NHSE Animal Crossing: New Horizons save editor 项目地址: https://gitcode.com/gh_mirrors/nh/NHSE 你是否曾经在《集合啦!动物森友会》中花费数小时摇树、钓鱼、挖化石&am…...

Audio Slicer终极指南:5步掌握免费音频智能分段技术

Audio Slicer终极指南:5步掌握免费音频智能分段技术 【免费下载链接】audio-slicer A simple GUI application that slices audio with silence detection 项目地址: https://gitcode.com/gh_mirrors/aud/audio-slicer 你是否曾面对长达数小时的录音素材&…...

保姆级教程:在Qt6中用子线程处理多个QSerialPort,实现多设备同时通信

工业级多线程串口通信框架设计:Qt6高效管理多设备通信实战 在工业自动化、物联网网关等场景中,经常需要同时与多个串口设备(如传感器、PLC、模块等)进行稳定通信。传统单线程串口处理方式在面对多设备时往往力不从心,容…...

工业现场设备的监控系统(有完整资料)

资料查找方式:特纳斯电子(电子校园网):搜索下面编号即可编号:T1532310M设计简介:本设计是工业现场设备的监控系统,主要实现以下功能:通过温湿度传感器检测温湿度,湿度过高…...

QMCDecode:三步解锁QQ音乐加密格式,实现跨平台音乐自由

QMCDecode:三步解锁QQ音乐加密格式,实现跨平台音乐自由 【免费下载链接】QMCDecode QQ音乐QMC格式转换为普通格式(qmcflac转flac,qmc0,qmc3转mp3, mflac,mflac0等转flac),仅支持macOS,可自动识别到QQ音乐下载目录&…...