利用电商平台漏洞获利「网站源码漏洞检测」

互联网 2023-06-05 22:17:38

今天给大家普及一下利用电商平台漏洞获利「网站源码漏洞检测」相关知识,最近很多在问利用电商平台漏洞获利「网站源码漏洞检测」,希望能帮助到您。

案情简介

A公司的主营业务是开发和运营云派券软件:客户(某宝卖家)下载软件客户端、使用其在某宝的账号密码登录后,服务端会获取客户登陆的cookie,通过获取的cookie将派发优惠券的代码添加到客户某宝店铺的源代码中。

这个业务流程不会获取店铺访问者的cookie,直到公司的软件工程师发现某宝的漏洞。

2014年5月初,软件工程师发现某宝店铺源码存在漏洞,利用这个漏洞在某宝店铺源码中植入一个url,执行该url指向的,可以获取访问(被植入url的)店铺的所有用户的cookie。如果访问者也是某宝卖家,其cookie有店铺装修权限,还可以利用这个卖家的cookie,将url再次植入其店铺源码,实现自动循环,获取更多的用户cookie,派发更多的优惠券。

公司是按派发优惠券的数量向某宝卖家收取费用的,优惠券越多,获利越多。

为了增加派发优惠券的店铺数量,软件工程师向公司法定代表人汇报,在对方授意下编写url代码并植入店铺网页,以获得访问店铺的买家、卖家的cookie。

因为代码不易在网页上直接判断区分买家、卖家的cookie,故将所有用户的cookie均获取并回传到公司租用的云服务器,该服务器再通过反向代理将cookie数据回传到其公司的服务器上,之后再通过软件软件工程师编写的过滤程序将cookie分成买家队列和卖家队列。然后,法定代表人再使用自己编写的“订单同步程序”(网络爬虫程序)读取虚拟队列中的cookie,获取用户的交易订单信息。

没过多久,某宝就在例行检查中发现这一异常情况并进行调查追踪。

2014年5月28日,法定代表人和软件工程师被刑拘。

2014年5月15日至案发,二被告用这个方法获取了2600多万组用户cookie,1亿多条订单信息。

cookie:用户登录时产生的一组认证信息,利用cookie可以执行对应帐号权限内的所有操作,无需帐号、密码。

订单信息,包含用户昵称、姓名、商品价格、交易创建时间、收货人姓名、收货人电话、收货地址等

焦点问题

庭审中,被告人及辩护人主要围绕编写代码的动机、获取交易订单数据的动机、爬取数据的数量等问题发表意见,请求法院从轻处罚、适用缓刑。

编写代码的动机

法定代表人及其辩护人提出,被告人是为了回传客户(使用云派券软件、授权其公司操作店铺装修等权限)的cookie,解决云派券断线问题才编写相应的程序。

法院审理查明,这种说法和软件工程师的供述无法印证,且相互矛盾。软件工程师供述称“为了增加派发优惠券的淘宝店铺数量才编写了相应程序”。

主观上有没有获取交易订单数据的故意

法定代表人及其辩护人提出,爬虫程序是在进行合法的派券业务过程中放置的,一旦有有效的卖家cookie进入虚拟队列即会自动获取交易订单数据,法定代表人主观上没有获取交易订单数据的故意。

法院认为,结合以下情况,足以认定二被告获取cookie时,并不区分cookie对应的信息主体是不是派券软件的客户,法定代表人有利用非法获取的cookie获取交易订单的故意,因此不采纳此项辩护意见。

“采用将url植入一客户的某宝店铺的方式发起,之后以自动添加到访问该店铺的其他卖家店铺源码中的方式不断扩散的传播方式”;法定代表人、软件工程师都供认,法定代表人事先明知这个程序可以在用户不知情的情况下获取所有访问植入url的某宝用户的cookie;法定代表人供述称“获取订单数据的目的是计划做一个为某宝卖家提供用户需求的精准分析服务(如客户的喜好、性别、地域等)的应用软件”。 “2600万组”数据是什么?是否影响定罪量刑?

被告人主张不能以“2600万组”这个数量作为定案依据,应以有效地卖家cookie数作为定案依据,理由是:

非法获取计算机信息系统数据罪的主观要素是直接故意,法定代表人编写js程序的目的是获取有效的卖家cookie,故应以获取的有效的卖家cookie数作为定案依据;“2600万组”这个数字是浏览日志的数量,而非其获取的某宝用户cookie数量;浏览日志中包含的用户cookie存在重复,且部分cookie在回传时已经失效;定案依据应当排除重复、失效部分的cookie。

一审法院未采纳该意见,并说明如下:

在案证据证实每条流量日志中均包含用户cookie,即2600万余组流量日志中包含有2600万余组cookie。在案证据显示二被告获取的cookie是该用户登陆访问相应某宝店铺时的有效cookie,且不区分是买家cookie还是卖家cookie。二被告人对通过技术手段获取的全部cookie均具有概括的故意。之后cookie是否失效,是否被实际使用,指向的是否为同一某宝用户等,都不影响对其非法获取计算机信息系统数据这一事实的认定,也不影响对二被告人的定罪量刑。

二审法院对此做了进一步说明:

被告人非法获取某宝用户cookie的数量为2600万余组,其中含有涉案恶意指向代码的某宝店铺为16.9万余家。以上数据系用户登录访问过程中的有效cookie,属于刑法保护的身份认证信息,原判对此认定为网络金融服务以外的身份认证信息,故数据的有效期限及使用情况、是否足以操作购物业务、是否造成直接经济损失,均不影响犯罪的构成。与此相关的诉辩意见,不能成立。

最终,一审法院认为法定代表人和软件工程师违反国家规定,侵入计算机信息系统,获取该计算机信息系统中存储、处理、传输的数据,情节特别严重,其行为均已构成非法获取计算机信息系统数据罪,分别判处有期徒刑六年和五年八个月。

技术手段的“入侵”性

同类案件中还有一个常见的辩护事由:技术手段本身不具有入侵性,是合法手段。

比如下面这个利用SQL注入漏洞的案例。

被告人通过SQL注入漏洞以及编写爬虫脚本的方式,侵入计算机信息系统,获取计算机系统内存储的大量数据,其中涉及到个人信息的数量约为1500万余条,该将其获取的个人信息通过QQ销售给“Versace”、“同花顺”、“FF”、“糖果”等人,从中获利约54万余元。

庭审中,被告人对被指控的罪名“非法获取计算机系统数据罪”无异议,但是对指控的数量和入侵方式有异议,提出:

SQL技术不是入侵技术爬虫技术只能获取网站页面的信息不能入侵系统或获取数据将SQL方式作为一种收集手段、采用爬虫脚本具备合法性销售通过爬虫脚本获得的信息,其所得利益应属于合法收益,应从54万元中扣除

一审法院认为:

被告人使用SQL注入漏洞以及编写爬虫脚本的方式侵入计算机信息系统,获取计算机系统内存储的大量数据,其中涉及到个人信息的数量达到约1500万余条,并非网站页面信息,信息出售所得系违法所得,故对该项辩解及辩护意见不予采纳。

二审法院认为:

上诉人未经网站授权,利用特定网站的漏洞,通过编写爬虫脚本入侵特定网站的方式,批量获取计算机信息系统中公民信息数据并用于出售。该采取的技术手段具有非法性,用该手段获取的信息数量及对应的犯罪数额均不应扣除。该上诉理由及辩护意见不成立,不予采纳。

被告人最终因犯非法获取计算机信息系统数据罪,判处有期徒刑五年。

昨天第二个案例中,法院判决提及“侵入”的本质在于未经授权或者超越授权,今天的案例也有提及,但是说理部分没有昨天的案例详细。