Upgrade to Pro — share decks privately, control downloads, hide ads and more …

決済代行サービスの実装における検証不備を悪用 (Security.Tokyo)

bubby963
March 06, 2023
Technology
0
980

決済代行サービスの実装における検証不備を悪用 (Security.Tokyo)

【発表日付】
2023年2月22日

【イベント】
Security.Tokyo

【発表概要】
Stripe APIの直接呼出しにより、競売で売られている商品を、最初入札額及び競売終了前に購入できた脆弱性を解説

bubby963

March 06, 2023
Tweet

Other Decks in Technology

See All in Technology
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
680
オブザーバビリティの Primary Signals
onk
PRO
0
550
〜小さく始めて大きく育てる〜データ分析基盤の開発から活用まで
kniino
0
2k
PHPカンファレンス小田原2024
ysknsid25
3
660
NgRx Signal Store
rainerhahnekamp
0
120
マルチアカウント環境への発見的統制の導入
ch1aki
1
1.3k
Next'24 事例セッションの紹介とクラウド資格を活用したキャリア形成について語りMuscle
yasumuusan
1
340
Vertex AI を中心に 生成AIのアップデートを共有します
kaz1437
0
150
反実仮想機械学習とは何か
usaito
PRO
7
2.3k
転移学習とドメイン適応の基礎
kmatsui
2
570
[PlatformCon 24] Platform Orchestrators: The Missing Middle of Internal Developer Platforms?
danielbryantuk
1
180
o11y入門_外形監視を利用したWebアプリケーションへの最適なモニタリング_TechBrew
k5k
3
100

Featured

See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
19
1.9k
No one is an island. Learnings from fostering a developers community.
thoeni
14
2.1k
Code Reviewing Like a Champion
maltzj
513
39k
RailsConf 2023
tenderlove
2
530
Building Applications with DynamoDB
mza
88
5.6k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
352
28k
It's Worth the Effort
3n
180
27k
Optimising Largest Contentful Paint
csswizardry
7
2.3k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
16
6.4k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
658
120k
We Have a Design System, Now What?
morganepeng
42
6.7k

Transcript

  1. 決済代行サービスの実装における検証 不備を悪用 Andrew Croft (bubby963)

  2. 1. 対象アプリ上の競売商品の購入の流れ 対象アプリ上で競売対象商品を購入する際の処理の流れは以下になります 1. 登録済み決済手段を持つユーザが競売ルームに参加 2. 競売実施期間中にその時点の入札価格より高い限り、任意の金額で入札できる 3. 競売終了時に落札者の登録済み決済手段を使用してStripe API経由で決済を実行

    Stripe API呼び出しを含む決済関連処理のほとんどはバックエンドで実行

  3. 2. マーケットプレース商品の購入の流れ • 競売とは別に、商品が一定価格で販売される「マーケッ トプレース」という機能もあります。 • マーケットプレースから商品を購入する際は、以下の流 れで処理されます。 1. 買いたい商品の購入手続きを開始するリクエストを送信

    2. Stripeによる、「Payment Intent」というオブジェクトが 生成され、それを一意に識別する「Payment Intent Client Secret」が返されます 3. ユーザのブラウザから、保存された決済手段の識別子及 びpayment intent client secretを渡してStripe APIを直接呼び出すことにより、決済が実行 競売商品購入時との一番大きな違いは、Stripe APIを 呼び出して決済を実行する処理は、バックエンドではなく、 クライアント側で行われる点になります。 1. 購入手続き開始用リクエスト 2. Payment intent secretの取得 3. Stripe API直接呼出しによる決済実行

  4. 3. StripeのPayment Intentとは Stripeの公式仕様書では以下のように定義されています PaymentIntent (支払いインテント) API を使用して、複雑な決済フローを処理できる組み込みを構築します。この API は、支払いの作成から決済までを追跡し、必要に応じて追加の認証ステップをトリガーします。

    簡潔にいうと • 支払いの開始から完了までの決済過程全般を、ユーザ及び支払いセッションごとに管理するための仕組み • 決済手段を登録できる「Payment Method API」と組み合わせて使用するのが基本 • 各Payment Intentオブジェクトに、それを一意に識別するPayment Intent Client Secret、及び購入 価格や通貨といった支払い詳細が格納されます

  5. 4. 競売商品のPayment Intentの取得 対象アプリでは、マーケットプレースと同様、競売商品に対するPayment Intent Client Secretが発行でき るgraphQLのクエリーが存在しました。 発行されるこのインテントの内容は、購入価格が発行時点の最高入札額となっていました。そのため、これから 説明する通り、最初入札額で競売商品を購入できる攻撃が成立。

    この攻撃の特徴としては • 発行時点の最高入札額で購入可能 • 別ユーザが最高入札者の場合でも発行可能 • 発行後に最高入札額が上がった場合でも、発行時点の最高入札額で購入可能なまま • 競売終了前に購入可能

  6. 5. 攻撃の流れ (1/3) 1. 競売対象商品に対し、$1等低価格の入札を入れます。 2. リクエストが正常に受け付けられたことを確認します。

  7. 5. 攻撃の流れ (2/3) 3. 「auctionId」を渡して、当該競売に対しその時点の最高入札額に紐づいたPayment Intent Client Secretを発行するリクエストを送信。 4. 応答内容からPayment

    Intent Client Secretの値を取得。

  8. 5. 攻撃の流れ (3/3) 5. Payment Intent Client Secret、使用するユーザの登録済み決済方法を識別する「Payment Method ID」、及び対象アプリの「Stripe

    Public Key」を渡して、Stripe APIに対し決済を実行するリクエス トを直接送信します。 6. 発行時の最高入札額で購入できたことを確認します

  9. 6. その他応用できる場面の考察 基本的には、Payment Intent Client Secretがユーザに渡される仕様となっているサイトであればこういった 脆弱性が潜在している可能性あり。実際には、下図の通り、公式手順書に従って導入した場合はこの仕様に なるので、標的となり得るサイトが多い。 この動きを悪用した他の脆弱性候補として、以下を考察しました。 •

    クレジット制度のあるサイト上で、クレジット残高を差し引いた金額を持つPayment Intent Client Secret を多数作成しておき、順番に決済を実行していく • ユーザが商品を販売できるサイト上で、低価格で売っている商品に対しPayment Intent Client Secret を生成後、当該商品の価格を大きく上げる。