写在前面 当我们深入研究漏洞奖励计划中的安全漏洞时，我们经常需要找到一些对用户不可见的功能。支付Webhook是一个典型的例子，像Stripe或Braintree这样的支付服务提供商使用这种技术来告知用户其用户的订单详情。重要的是，用户根本不与这些Webhook节点交互，并且所有通信都在支付提供商和服务器之间完成。这意味着许多漏洞Hunter可能永远不会想到测试Webhook功能，这会漏掉许多潜在的高风险漏洞。 漏洞发现 当我测试提供每月订阅服务的网站时，我碰巧得到了网站内部API的开发文档。其中一个节点引起了我的注意。该节点（/api/webhooks/stripe）可以接收PUT请求。根据我之前对支付提供商进行安全测试的经验，我想如果我可以发送到这个节点伪造请求并让网站认为我已完成付款。 我首先发送了一个空的JSON请求，服务器返回了一条错误消息。在分析了网站上Webhook使用的Stripe格式之后，我发送了一个JSON请求，其中包含以下主体： {  'payment': {    '状态':'成功'，    '提供者':'条带' }，  'id':'.'} 此时，服务器返回的响应信息显示状态为“成功”： {  'id':'.'，  '金额': 1，  '状态':'成功'，  '提供者':'条带'} 通过这种方式，我的帐户授权成功，并显示订阅服务已成功付款。这让我想到：有多少网站有这样的漏洞？支付服务提供商如何防止此漏洞出现？ 解 实际上，支付提供商能够防止这种漏洞，因此我会惊讶于这些节点不受相应安全性的保护。 Braintree的实现是正确的：用户必须通过Braintree代码解析传入的Webhook数据，代码将自动验证请求的有效性，并提取JSON正文。通过这种方式，Webhook节点将非常安全，并且不会被攻击者的虚假请求所欺骗。 在Webhook安全问题面前，网站使用的支付服务提供商Stripe无法保证“绝对可靠”。虽然Stripe确实提到了Webhook签名的验证，但它只是一个安全建议，并没有强调这对Webhook安全性整体安全性的影响有多重要。此外，API文档中给出的代码示例不包含任何Webhook签名身份验证，但直接解析JSON请求。 Webhook默认是不安全的，这非常棘手。在开发集成支付的服务时，用户倾向于采用具有最小“阻力”的实现方法，这意味着许多网站不验证输入请求的签名。 另一个订阅支付服务提供商Recurly使用基于HTTP的身份验证在服务器之间共享密钥。现在有人可能会问，验证共享密钥是不是麻烦.另外，Recurly提供了一个IP地址列表，只有来自这个IP地址列表的Webhook请求才会被认为是有效的。但是，这还不够。例如，攻击者可以创建单独的Recurly帐户，然后发送有效但恶意的Webhook请求，这也可能导致安全问题。 漏洞跟踪 在测试与支付相关的Webhook漏洞时，我们可以分析提供每月订阅服务的网站。这是一个非常有效的线索，因为大多数支付服务提供商对Webhook不够有效。安全保护。 下面我们提供几种查找Webhook节点的方法： 1.  搜索与“Webhook”或“支付”相关的JavaScript文件，许多支付网站可能直接暴露内部节点; 2.  搜索目标组织的GitHub代码库或相关文档，以获取对Webhook的相关引用; 3.  大多数Webhook节点的数据格式可能类似，因此我们可以尝试访问不同的API节点来查找Webhook节点，例如/api/stripe/webhook，/api/payments/webhook或/api/stripeWebhook。 总结一下 毫无疑问，如果支付网站想要检测任何可疑的网络行为，那么默认情况下肯定会验证支付Webhook请求。虽然一些支付提供商为用户提供了一些防止此类攻击的方法，但他们仍然需要提供商和客户的共同努力。 *参考源：lightningsecurity，FB小编Alpha_h4ck编译 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。