您的位置:首頁 > 菜鳥學(xué)院 > 金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試

金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試

來源:互聯(lián)網(wǎng) | 時(shí)間:2015-03-18 10:02:08 | 閱讀:188 |  標(biāo)簽: 網(wǎng)絡(luò)安全   | 分享到:

金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試


一、前言

互聯(lián)網(wǎng)金融是這兩年來在金融界的新興名詞,也是互聯(lián)網(wǎng)行業(yè)一個(gè)重要的分支,但互聯(lián)網(wǎng)金融不是互聯(lián)網(wǎng)和金融業(yè)的簡(jiǎn)單結(jié)合,而是在實(shí)現(xiàn)安全、移動(dòng)等網(wǎng)絡(luò)技術(shù)水平上,被用戶熟悉接受后,適應(yīng)新的需求而產(chǎn)生的新模式及新業(yè)務(wù),目前除了常見的網(wǎng)上銀行、第三方支付,這兩年很多的民間融資貸款平臺(tái)也逐步興起,像P2P網(wǎng)貸、眾籌等。越直接涉及到金錢的業(yè)務(wù)就越敏感,這是眾所周知的,平臺(tái)的運(yùn)作除了建立在強(qiáng)大的資金鏈之外,平臺(tái)自身的公信力也是很關(guān)鍵的,在陸陸續(xù)續(xù)的一些金融平臺(tái)出現(xiàn)過安全問題后,越來越多的此類平臺(tái)也逐步意識(shí)到安全的重要性。

我們?cè)?jīng)受邀請(qǐng)檢測(cè)過網(wǎng)上一些互聯(lián)網(wǎng)金融交易平臺(tái),在檢測(cè)的過程曾發(fā)現(xiàn)部分平臺(tái)存在著嚴(yán)重的安全問題,在本期的技術(shù)專題中我們將針對(duì)所發(fā)現(xiàn)過的一些常見的安全問題進(jìn)行總結(jié),同時(shí)提出相應(yīng)的解決辦法,希望對(duì)開發(fā)的人員代碼安全能力有所提高。

二、安全漏洞剖析

2.1統(tǒng)計(jì)

我們對(duì)曾測(cè)試對(duì)約多家金融交易平臺(tái)進(jìn)行過一次漏洞統(tǒng)計(jì),除了常見的一些如注入、跨站、CSRF、惡意上傳等Web漏洞外,部分金融平臺(tái)在業(yè)務(wù)功能上存在著嚴(yán)重的風(fēng)險(xiǎn),如任意用戶密碼重置、交易參數(shù)惡意篡改等,與常見的注入、惡意上傳不同,這些業(yè)務(wù)邏輯的漏洞不會(huì)直接影響服務(wù)器的安全,但卻會(huì)直接影響用戶的資金、賬號(hào)的安全,其風(fēng)險(xiǎn)程度有過之而無不及,若被黑客所利用或被曝光,將嚴(yán)重影響平臺(tái)公信力。

我們對(duì)常見的漏洞進(jìn)行過統(tǒng)計(jì),發(fā)現(xiàn)其中越權(quán)操作的占比最高,在我們所測(cè)試過的平臺(tái)中基本都有發(fā)現(xiàn),包括任意查詢用戶信息、任意刪除等行為;最嚴(yán)重的漏洞出現(xiàn)在賬號(hào)安全,包括重置任意用戶密碼、驗(yàn)證碼暴力破解等。下面我們將以舉例的方式給介紹一些常見的安全問題以及其解決方法。

2.2越權(quán)操作

漏洞描述

平行權(quán)限越權(quán)操作其實(shí)是一種較為常見的安全漏洞,在OWASP Top 10中也有所提及,分別為不安全對(duì)象引用和功能級(jí)別訪問控制缺失。

小編推薦閱讀

好特網(wǎng)發(fā)布此文僅為傳遞信息,不代表好特網(wǎng)認(rèn)同期限觀點(diǎn)或證實(shí)其描述。

相關(guān)視頻攻略

更多

掃二維碼進(jìn)入好特網(wǎng)手機(jī)版本!

掃二維碼進(jìn)入好特網(wǎng)微信公眾號(hào)!

本站所有軟件,都由網(wǎng)友上傳,如有侵犯你的版權(quán),請(qǐng)發(fā)郵件[email protected]

湘ICP備2022002427號(hào)-10 湘公網(wǎng)安備:43070202000427號(hào)© 2013~2024 haote.com 好特網(wǎng)