风险项目详情

支付宝国补项目

项目负责人

张三

安全责任人

李四

风险发现时间

2023-06-15

风险汇总

需求: 越权访问代码: SQL注入测试: ID枚举发布: 1未修复

支付宝国补项目需求文档 v1.2

1. 项目背景：为响应国家补贴政策，支付宝平台新增国补专区，为用户提供补贴申请、查询等服务。

2. 功能需求：

2.1 用户认证：用户需完成实名认证方可申请补贴

2.2 补贴申请：用户填写申请表，提交后进入审核流程

2.3 补贴查询：用户可查询历史补贴记录及当前申请状态

2.4 管理员功能：管理员可查看所有用户补贴申请，并有权修改申请状态

3. 技术实现：采用微服务架构，补贴服务独立部署，通过API网关暴露接口

4. 数据存储：用户补贴数据存储在MySQL数据库，补贴申请表单独存储

5. 权限控制：前端根据用户角色显示不同功能，后端接口需验证用户权限

安全分析结果

STRIDE威胁建模

安全风险分析

业务场景: 管理员修改补贴申请状态

风险点: 后端接口未验证管理员权限

风险类型: 越权访问

整改建议: 1. 接口添加权限校验 2. 记录操作日志 3. 添加二次确认

业务场景: 补贴查询接口

风险点: 返回所有用户字段

风险类型: 信息泄露

整改建议: 1. 只返回必要字段 2. 添加数据脱敏

业务场景: 权限控制设计

风险点: 仅前端控制权限

风险类型: 权限绕过

整改建议: 1. 后端添加权限校验 2. 实现RBAC模型

代码内容

const db = require('./db');
                
// 获取用户补贴信息
async function getUserSubsidy(userId) {
    const query = `SELECT * FROM subsidies WHERE user_id = '${userId}'`;
    return await db.query(query);
}

// 更新补贴状态
async function updateSubsidyStatus(subsidyId, status) {
    // 漏洞: 未验证管理员权限
    const query = `UPDATE subsidies SET status = '${status}' WHERE id = ${subsidyId}`;
    return await db.query(query);
}

// 获取所有补贴申请 (管理员)
async function getAllSubsidies() {
    const query = `SELECT * FROM subsidies`;
    return await db.query(query);
}

module.exports = {
    getUserSubsidy,
    updateSubsidyStatus,
    getAllSubsidies
};

// 认证中间件
function authenticate(req, res, next) {
    const token = req.headers['authorization'];
    if (!token) {
        return res.status(401).json({ error: '未授权' });
    }
    
    // 验证token逻辑...
    next();
}

module.exports = {
    authenticate
};

const express = require('express');
const router = express.Router();
const subsidyService = require('./subsidyService');

// 获取用户补贴信息
router.get('/:userId', async (req, res) => {
    try {
        const subsidies = await subsidyService.getUserSubsidy(req.params.userId);
        res.json(subsidies);
    } catch (error) {
        res.status(500).json({ error: error.message });
    }
});

// 更新补贴状态
router.put('/status/:subsidyId', async (req, res) => {
    try {
        const result = await subsidyService.updateSubsidyStatus(
            req.params.subsidyId, 
            req.body.status
        );
        res.json(result);
    } catch (error) {
        res.status(500).json({ error: error.message });
    }
});

module.exports = router;

安全分析结果

漏洞名称: SQL注入

风险接口: GET /subsidies/:userId

漏洞类型: 注入漏洞

漏洞级别: 高危

漏洞描述: 用户ID直接拼接到SQL查询中，可能导致SQL注入攻击

修复代码:

// 修复后代码
async function getUserSubsidy(userId) {
    const query = 'SELECT * FROM subsidies WHERE user_id = ?';
    return await db.query(query, [userId]);
}

漏洞名称: 越权访问

风险接口: PUT /status/:subsidyId

漏洞类型: 权限漏洞

漏洞级别: 高危

漏洞描述: 接口未验证调用者是否有权限修改补贴状态

修复代码:

// 修复后代码
async function updateSubsidyStatus(userId, subsidyId, status) {
    // 首先验证用户是否有权限修改这个补贴
    const canUpdate = await checkPermission(userId, subsidyId);
    if (!canUpdate) {
        throw new Error('无权修改此补贴状态');
    }
    
    const query = 'UPDATE subsidies SET status = ? WHERE id = ?';
    return await db.query(query, [status, subsidyId]);
}

漏洞名称: 信息泄露

风险接口: GET /subsidies/:userId

漏洞类型: 数据泄露

漏洞级别: 高危

漏洞描述: 返回所有用户补贴信息字段，包含敏感数据

修复代码:

// 修复后代码
async function getUserSubsidy(userId) {
    const query = 'SELECT id, amount, status FROM subsidies WHERE user_id = ?';
    return await db.query(query, [userId]);
}

测试内容

风险接口: /api/subsidies/1001

攻击Payload:

GET /api/subsidies/1001%27%20OR%201%3D1-- HTTP/1.1
Host: example.com
Authorization: Bearer user_token

风险接口: /api/subsidies/status/1001

攻击Payload:

PUT /api/subsidies/status/1002 HTTP/1.1
Host: example.com
Authorization: Bearer user_token
Content-Type: application/json

{
    "status": "approved"
}

攻击结果:

{
    "id": 1002,
    "user_id": "other_user",
    "amount": 5000,
    "status": "approved",
    "created_at": "2023-06-01T10:00:00Z"
}

攻击成功: 普通用户成功修改了其他用户的补贴状态

安全分析结果

风险接口地址: /api/subsidies/{userId}

风险描述: SQL注入漏洞导致可以获取所有用户补贴信息

攻击手法:

攻击者登录自己的账号，获取一个合法的用户ID

构造恶意SQL注入Payload替换用户ID

服务器执行恶意SQL查询，返回所有用户数据

攻击者获取大量敏感用户补贴信息

风险接口地址: /api/subsidies/status/{subsidyId}

风险描述: 越权修改其他用户补贴状态

攻击手法:

攻击者登录自己的账号，获取一个合法的订单ID

修改请求中的subsidyId参数，尝试访问其他订单ID

服务器未进行权限校验，成功修改状态

通过自动化工具可以批量修改大量订单状态

修复建议:

GET /api/subsidies/1001 HTTP/1.1

使用参数化查询:

const query = 'SELECT * FROM subsidies WHERE user_id = ?';
db.query(query, [userId]);

线上监控内容

安全事件

2023-06-20 14:30: 检测到异常补贴状态修改请求

2023-06-21 09:15: 检测到批量补贴查询请求

监控指标

异常请求数

128

拦截攻击

42

访问日志

时间	接口	状态
2023-06-20 14:30:22	PUT /status/1002	拦截
2023-06-20 14:30:25	PUT /status/1003	拦截
2023-06-20 14:30:28	PUT /status/1004	拦截

安全分析结果

漏洞修复情况

SQL注入漏洞

已修复 - 2023-06-18

修复后未发现相关攻击

越权访问漏洞

已修复 - 2023-06-19

修复后拦截42次攻击尝试

待处理问题

订单ID枚举漏洞

未完全修复

检测到128次枚举尝试

建议: 添加资源级权限控制

安全态势

SQL注入防护有效

越权访问防护有效

枚举攻击防护部分有效

支付宝国补项目

风险汇总

安全分析结果

STRIDE威胁建模

安全风险分析

代码内容

安全分析结果

测试内容

风险接口: /api/subsidies/1001

风险接口: /api/subsidies/status/1001

安全分析结果

攻击手法:

攻击手法:

修复建议:

发布检查内容

需求环节遗留风险

代码环节遗留风险

安全测试环节遗留风险

安全分析结果

已修复风险

未修复风险

发布决策

线上监控内容

安全事件

监控指标

访问日志

安全分析结果

漏洞修复情况

待处理问题

安全态势