会员服务
ERP · WEB · 系统 · P系统 · 失效 ·
3 月 15 日
Toward Secure Web to ERP Payment Flows: A Case Study of HTTP Header Trust Failures in SAP Based Systems
翻译:面向安全的Web至ERP支付流程:基于SAP系统的HTTP头部信任失效案例研究
Vick Dini
Vick Dini

Electronic banking portals often sit in front of enterprise resource planning (ERP) systems such as SAP, mediating payment requests between users and back end financial infrastructure. When these integrations place excessive trust in client supplied HTTP metadata, subtle design flaws can arise that undermine payment integrity. This article presents a retrospective, anonymized case study of an SAP based payment flow in which weaknesses in HTTP level validation allowed the front end application to incorrectly treat unpaid transactions as completed. Rather than provide a reproducible exploit, we abstract the scenario into a general vulnerability pattern, analyze contributing architectural decisions, and propose concrete design and verification practices for secure web to ERP payment processing. The discussion emphasizes formalizing payment state machines, strengthening trust boundaries, and incorporating regular security review into integration projects.


翻译:电子银行门户通常部署在企业资源规划(ERP)系统(如SAP)之前,作为用户与后端金融基础设施之间支付请求的中介。当这些集成过程过度信任客户端提供的HTTP元数据时,可能产生微妙的设计缺陷,从而损害支付完整性。本文通过一项回顾性、匿名化的案例研究,分析了一个基于SAP的支付流程中因HTTP层面验证机制薄弱,导致前端应用程序错误地将未支付交易视为已完成的情况。我们并非提供可复现的攻击方案,而是将具体场景抽象为通用漏洞模式,剖析导致问题的架构决策,并为安全的Web至ERP支付处理提出具体的设计与验证实践。讨论重点包括:支付状态机的形式化建模、强化信任边界,以及将定期安全审查纳入集成项目。
0
下载
关闭预览

相关内容

ERP 是 Enterprise Resource Planning(企业资源计划)的简称。 ERP是针对物资资源管理(物流)、人力资源管理(人才流)、财务资源管理(财流)、信息资源管理(信息流)集成一体化的企业管理系统。
2024年中国数据中台行业研究报告
2024年中国数据中台行业研究报告
专知会员服务
44+阅读 · 2024年7月3日
《分析将零信任模式应用于运行技术系统的可行性和益处》2023最新83页论文
《分析将零信任模式应用于运行技术系统的可行性和益处》2023最新83页论文
专知会员服务
32+阅读 · 2023年12月1日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
【军用区块链+复杂系统】《数据信任方法学:基于区块链的军事复杂系统检测》麻省理工林肯实验室
【军用区块链+复杂系统】《数据信任方法学:基于区块链的军事复杂系统检测》麻省理工林肯实验室
专知会员服务
56+阅读 · 2022年6月11日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
《数据中台交付标准化》白皮书
《数据中台交付标准化》白皮书
专知会员服务
126+阅读 · 2022年3月21日
区块链数据安全服务综述
区块链数据安全服务综述
专知会员服务
56+阅读 · 2021年11月10日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
31+阅读 · 2020年11月21日
【WWW2020】解决推荐系统中目标客户失真问题,Addressing the Target Customer Distortion Problem in Recommender Systems
【WWW2020】解决推荐系统中目标客户失真问题,Addressing the Target Customer Distortion Problem in Recommender Systems
专知会员服务
10+阅读 · 2020年4月4日
【SIGMOD2020-阿里巴巴】AliCoCo阿里巴巴电子商务知识图谱的认知概念网半自动构建
【SIGMOD2020-阿里巴巴】AliCoCo阿里巴巴电子商务知识图谱的认知概念网半自动构建
专知会员服务
36+阅读 · 2020年3月31日
【数字化转型】华为数字化转型实践
【数字化转型】华为数字化转型实践
产业智能官
11+阅读 · 2020年2月22日
微信小程序支持webP的WebAssembly方案
微信小程序支持webP的WebAssembly方案
前端之巅
19+阅读 · 2019年8月14日
工行基于MySQL构建分布式架构的转型之路
工行基于MySQL构建分布式架构的转型之路
炼数成金订阅号
15+阅读 · 2019年5月16日
实战▍一个完整的电信客服分析平台大数据项目:架构、实现、数据
实战▍一个完整的电信客服分析平台大数据项目:架构、实现、数据
36大数据
13+阅读 · 2019年3月20日
Github项目推荐 | 推荐系统实例与最佳实践 by 微软
Github项目推荐 | 推荐系统实例与最佳实践 by 微软
AI研习社
20+阅读 · 2019年1月2日
蚂蚁金服微服务实践(附演讲PPT)
蚂蚁金服微服务实践(附演讲PPT)
开源中国
18+阅读 · 2018年12月21日
【MES】从ERP到MES,大部分企业都会踩到这些坑
【MES】从ERP到MES,大部分企业都会踩到这些坑
产业智能官
23+阅读 · 2018年10月12日
干货解析 | 如何通过用户的行为序列来提升欺诈风险识别
干货解析 | 如何通过用户的行为序列来提升欺诈风险识别
蚂蚁程序猿
13+阅读 · 2018年9月7日
互联网金融中的交易反欺诈模型
互联网金融中的交易反欺诈模型
炼数成金订阅号
14+阅读 · 2018年3月9日
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
AI100
11+阅读 · 2017年11月17日
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向知识库的实体链接技术研究
国家自然科学基金
13+阅读 · 2015年12月31日
以用户为中心的电子商务大数据偏好查询处理与优化
国家自然科学基金
0+阅读 · 2015年12月31日
非确定型Web服务流程重组的可靠性验证技术
国家自然科学基金
1+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
云计算环境中面向时间约束的大规模并行业务流程的监控策略研究
国家自然科学基金
2+阅读 · 2015年12月31日
信用期限制条件下具有资金约束的库存管理优化模型研究
国家自然科学基金
0+阅读 · 2014年12月31日
B2C电子商务物流整体优化及动态调整方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
互联网金融三维信任机制及参与者信任感知与交易决策
国家自然科学基金
0+阅读 · 2014年12月31日
商业银行小微企业信贷中的信任研究
国家自然科学基金
2+阅读 · 2014年12月31日
Benchmarking ERP Analysis: Manual Features, Deep Learning, and Foundation Models
Arxiv
0+阅读 · 4月20日
Data Engineering Patterns for Cross-System Reconciliation in Regulated Enterprises: Architecture, Anomaly Detection, and Governance
Arxiv
0+阅读 · 4月16日
Graduated Trust Gating for IoT Location Verification: Trading Off Detection and Proof Escalation
Arxiv
0+阅读 · 4月4日
APEX: Agent Payment Execution with Policy for Autonomous Agent API Access
Arxiv
0+阅读 · 4月2日
A Hitchhiker's Guide to Privacy-Preserving Digital Payment Systems: A Survey on Anonymity, Confidentiality, and Auditability
Arxiv
0+阅读 · 4月1日
On the Operational Resilience of CBDC: Threats and Prospects of Formal Validation for Offline Payments
Arxiv
0+阅读 · 3月26日
Unpacking Security Scanners for GitHub Actions Workflows
Arxiv
0+阅读 · 3月17日
Streaming REST APIs for Large Financial Transaction Exports from Relational Databases
Arxiv
0+阅读 · 3月13日
Privacy in ERP Systems: Behavioral Models of Developers and Consultants
Arxiv
0+阅读 · 3月12日
Pricing for Routing and Flow-Control in Payment Channel Networks
Arxiv
0+阅读 · 3月7日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
ERP
WEB
系统
P系统
失效
最新内容
BES:让语言模型通过双向进化搜索自我改进
BES:让语言模型通过双向进化搜索自我改进
专知会员服务
0+阅读 · 5月30日
ICML 2026 | 揭开视觉语言模型计数瓶颈:看得到,却说不出
ICML 2026 | 揭开视觉语言模型计数瓶颈:看得到,却说不出
专知会员服务
0+阅读 · 5月30日
以色列-美国-伊朗战争中的无人机:关键要点
以色列-美国-伊朗战争中的无人机:关键要点
专知会员服务
3+阅读 · 5月30日
美以伊战争:首次人工智能战争——军事自主性困境
美以伊战争:首次人工智能战争——军事自主性困境
专知会员服务
3+阅读 · 5月30日
《Palantir任务保障性软件安全标准(MA-S2)》
《Palantir任务保障性软件安全标准(MA-S2)》
专知会员服务
7+阅读 · 5月30日
《美海军利用扩展现实增强知识流动研究》300页报告
《美海军利用扩展现实增强知识流动研究》300页报告
专知会员服务
4+阅读 · 5月30日
基于声学的无人机检测技术综述
基于声学的无人机检测技术综述
专知会员服务
5+阅读 · 5月30日
《当代混合战争分析框架:俄乌战争经验教训》
《当代混合战争分析框架:俄乌战争经验教训》
专知会员服务
5+阅读 · 5月30日
生成式AI基础小册子绪论解读:一条数学地基路线,178页pdf
生成式AI基础小册子绪论解读:一条数学地基路线,178页pdf
专知会员服务
10+阅读 · 5月29日
AutoScientists:自组织智能体团队驱动长期科学实验
AutoScientists:自组织智能体团队驱动长期科学实验
专知会员服务
5+阅读 · 5月29日
《阿利·伯克级驱逐舰的战损修理:桌面推演结果》报告
《阿利·伯克级驱逐舰的战损修理:桌面推演结果》报告
专知会员服务
5+阅读 · 5月29日
战略前沿人工智能的再思考(中文)
战略前沿人工智能的再思考(中文)
专知会员服务
7+阅读 · 5月29日
《量化地基防空系统间接效应的博弈论方法》
《量化地基防空系统间接效应的博弈论方法》
专知会员服务
5+阅读 · 5月29日
传感器网络:美国如何探测来自伊朗的导弹与无人机
传感器网络:美国如何探测来自伊朗的导弹与无人机
专知会员服务
6+阅读 · 5月29日
《无人机战争中的经济不对称:伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》
《无人机战争中的经济不对称:伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》
专知会员服务
8+阅读 · 5月29日
相关VIP内容
2024年中国数据中台行业研究报告
2024年中国数据中台行业研究报告
专知会员服务
44+阅读 · 2024年7月3日
《分析将零信任模式应用于运行技术系统的可行性和益处》2023最新83页论文
《分析将零信任模式应用于运行技术系统的可行性和益处》2023最新83页论文
专知会员服务
32+阅读 · 2023年12月1日
通信网络中大型语言模型的后门攻击的综述
通信网络中大型语言模型的后门攻击的综述
专知会员服务
30+阅读 · 2023年9月5日
【军用区块链+复杂系统】《数据信任方法学:基于区块链的军事复杂系统检测》麻省理工林肯实验室
【军用区块链+复杂系统】《数据信任方法学:基于区块链的军事复杂系统检测》麻省理工林肯实验室
专知会员服务
56+阅读 · 2022年6月11日
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
【书籍】网络安全《移动目标防御 II:博弈论和对抗性建模的应用》210页,Moving Target Defense II:Application of Game Theory and Adversarial Modeling
专知会员服务
66+阅读 · 2022年4月14日
《数据中台交付标准化》白皮书
《数据中台交付标准化》白皮书
专知会员服务
126+阅读 · 2022年3月21日
区块链数据安全服务综述
区块链数据安全服务综述
专知会员服务
56+阅读 · 2021年11月10日
首篇《后门学习综述》论文发布,阐述AI系统训练过程的安全性问题
专知会员服务
31+阅读 · 2020年11月21日
【WWW2020】解决推荐系统中目标客户失真问题,Addressing the Target Customer Distortion Problem in Recommender Systems
【WWW2020】解决推荐系统中目标客户失真问题,Addressing the Target Customer Distortion Problem in Recommender Systems
专知会员服务
10+阅读 · 2020年4月4日
【SIGMOD2020-阿里巴巴】AliCoCo阿里巴巴电子商务知识图谱的认知概念网半自动构建
【SIGMOD2020-阿里巴巴】AliCoCo阿里巴巴电子商务知识图谱的认知概念网半自动构建
专知会员服务
36+阅读 · 2020年3月31日
热门VIP内容
相关资讯
【数字化转型】华为数字化转型实践
【数字化转型】华为数字化转型实践
产业智能官
11+阅读 · 2020年2月22日
微信小程序支持webP的WebAssembly方案
微信小程序支持webP的WebAssembly方案
前端之巅
19+阅读 · 2019年8月14日
工行基于MySQL构建分布式架构的转型之路
工行基于MySQL构建分布式架构的转型之路
炼数成金订阅号
15+阅读 · 2019年5月16日
实战▍一个完整的电信客服分析平台大数据项目:架构、实现、数据
实战▍一个完整的电信客服分析平台大数据项目:架构、实现、数据
36大数据
13+阅读 · 2019年3月20日
Github项目推荐 | 推荐系统实例与最佳实践 by 微软
Github项目推荐 | 推荐系统实例与最佳实践 by 微软
AI研习社
20+阅读 · 2019年1月2日
蚂蚁金服微服务实践(附演讲PPT)
蚂蚁金服微服务实践(附演讲PPT)
开源中国
18+阅读 · 2018年12月21日
【MES】从ERP到MES,大部分企业都会踩到这些坑
【MES】从ERP到MES,大部分企业都会踩到这些坑
产业智能官
23+阅读 · 2018年10月12日
干货解析 | 如何通过用户的行为序列来提升欺诈风险识别
干货解析 | 如何通过用户的行为序列来提升欺诈风险识别
蚂蚁程序猿
13+阅读 · 2018年9月7日
互联网金融中的交易反欺诈模型
互联网金融中的交易反欺诈模型
炼数成金订阅号
14+阅读 · 2018年3月9日
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
干货 | 人工智能如何帮助银行反欺诈:来看看关于银行智能欺诈风险预测模型的研究
AI100
11+阅读 · 2017年11月17日
相关论文
Benchmarking ERP Analysis: Manual Features, Deep Learning, and Foundation Models
Arxiv
0+阅读 · 4月20日
Data Engineering Patterns for Cross-System Reconciliation in Regulated Enterprises: Architecture, Anomaly Detection, and Governance
Arxiv
0+阅读 · 4月16日
Graduated Trust Gating for IoT Location Verification: Trading Off Detection and Proof Escalation
Arxiv
0+阅读 · 4月4日
APEX: Agent Payment Execution with Policy for Autonomous Agent API Access
Arxiv
0+阅读 · 4月2日
A Hitchhiker's Guide to Privacy-Preserving Digital Payment Systems: A Survey on Anonymity, Confidentiality, and Auditability
Arxiv
0+阅读 · 4月1日
On the Operational Resilience of CBDC: Threats and Prospects of Formal Validation for Offline Payments
Arxiv
0+阅读 · 3月26日
Unpacking Security Scanners for GitHub Actions Workflows
Arxiv
0+阅读 · 3月17日
Streaming REST APIs for Large Financial Transaction Exports from Relational Databases
Arxiv
0+阅读 · 3月13日
Privacy in ERP Systems: Behavioral Models of Developers and Consultants
Arxiv
0+阅读 · 3月12日
Pricing for Routing and Flow-Control in Payment Channel Networks
Arxiv
0+阅读 · 3月7日
相关基金
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向知识库的实体链接技术研究
国家自然科学基金
13+阅读 · 2015年12月31日
以用户为中心的电子商务大数据偏好查询处理与优化
国家自然科学基金
0+阅读 · 2015年12月31日
非确定型Web服务流程重组的可靠性验证技术
国家自然科学基金
1+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
云计算环境中面向时间约束的大规模并行业务流程的监控策略研究
国家自然科学基金
2+阅读 · 2015年12月31日
信用期限制条件下具有资金约束的库存管理优化模型研究
国家自然科学基金
0+阅读 · 2014年12月31日
B2C电子商务物流整体优化及动态调整方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
互联网金融三维信任机制及参与者信任感知与交易决策
国家自然科学基金
0+阅读 · 2014年12月31日
商业银行小微企业信贷中的信任研究
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top