一、前言
互聯(lián)網(wǎng)金融是這兩年來在金融界的新興名詞,也是互聯(lián)網(wǎng)行業(yè)一個(gè)重要的分支,但互聯(lián)網(wǎng)金融不是互聯(lián)網(wǎng)和金融業(yè)的簡(jiǎn)單結(jié)合,而是在實(shí)現(xiàn)安全、移動(dòng)等網(wǎng)絡(luò)技術(shù)水平上,被用戶熟悉接受后,適應(yīng)新的需求而產(chǎn)生的新模式及新業(yè)務(wù),目前除了常見的網(wǎng)上銀行、第三方支付,這兩年很多的民間融資貸款平臺(tái)也逐步興起,像P2P網(wǎng)貸、眾籌等。越直接涉及到金錢的業(yè)務(wù)就越敏感,這是眾所周知的,平臺(tái)的運(yùn)作除了建立在強(qiáng)大的資金鏈之外,平臺(tái)自身的公信力也是很關(guān)鍵的,在陸陸續(xù)續(xù)的一些金融平臺(tái)出現(xiàn)過安全問題后,越來越多的此類平臺(tái)也逐步意識(shí)到安全的重要性。
我們?cè)?jīng)受邀請(qǐng)檢測(cè)過網(wǎng)上一些互聯(lián)網(wǎng)金融交易平臺(tái),在檢測(cè)的過程曾發(fā)現(xiàn)部分平臺(tái)存在著嚴(yán)重的安全問題,在本期的技術(shù)專題中我們將針對(duì)所發(fā)現(xiàn)過的一些常見的安全問題進(jìn)行總結(jié),同時(shí)提出相應(yīng)的解決辦法,希望對(duì)開發(fā)的人員代碼安全能力有所提高。
二、安全漏洞剖析
我們對(duì)曾測(cè)試對(duì)約多家金融交易平臺(tái)進(jìn)行過一次漏洞統(tǒng)計(jì),除了常見的一些如注入、跨站、CSRF、惡意上傳等Web漏洞外,部分金融平臺(tái)在業(yè)務(wù)功能上存在著嚴(yán)重的風(fēng)險(xiǎn),如任意用戶密碼重置、交易參數(shù)惡意篡改等,與常見的注入、惡意上傳不同,這些業(yè)務(wù)邏輯的漏洞不會(huì)直接影響服務(wù)器的安全,但卻會(huì)直接影響用戶的資金、賬號(hào)的安全,其風(fēng)險(xiǎn)程度有過之而無不及,若被黑客所利用或被曝光,將嚴(yán)重影響平臺(tái)公信力。
我們對(duì)常見的漏洞進(jìn)行過統(tǒng)計(jì),發(fā)現(xiàn)其中越權(quán)操作的占比最高,在我們所測(cè)試過的平臺(tái)中基本都有發(fā)現(xiàn),包括任意查詢用戶信息、任意刪除等行為;最嚴(yán)重的漏洞出現(xiàn)在賬號(hào)安全,包括重置任意用戶密碼、驗(yàn)證碼暴力破解等。下面我們將以舉例的方式給介紹一些常見的安全問題以及其解決方法。
漏洞描述
平行權(quán)限越權(quán)操作其實(shí)是一種較為常見的安全漏洞,在OWASP Top 10中也有所提及,分別為不安全對(duì)象引用和功能級(jí)別訪問控制缺失。
小編推薦閱讀國(guó)產(chǎn)工具PKAV HTTP Fuzzer滲透測(cè)試助手最新發(fā)布
閱讀FireEye:11.2%的移動(dòng)APP仍存在FREAK漏洞
閱讀惠普漏洞:惠普ArcSight企業(yè)安全系列產(chǎn)品曝高危安全漏洞
閱讀騰訊、360各顯神通,分別秒殺IE、Flash、PDF項(xiàng)目
閱讀蘋果Mac OS X系統(tǒng)被發(fā)現(xiàn)存在DLL劫持漏洞
閱讀金融行業(yè)平臺(tái)的針對(duì)性防御滲透測(cè)試
閱讀D-Link(友訊)路由器曝遠(yuǎn)程文件上傳及命令注入漏洞(已發(fā)布安全更新)
閱讀Win10將使用P2P進(jìn)行系統(tǒng)更新,引發(fā)安全擔(dān)憂
閱讀美國(guó)最大的無卡ATM網(wǎng)絡(luò)即將推出,從此告別刷卡!
閱讀谷歌應(yīng)用漏洞泄漏超過28萬條私人WHOIS數(shù)據(jù)
閱讀使命召喚、魔獸世界、英雄聯(lián)盟……專攻游戲的勒索軟件TeslaCrypt
閱讀本站所有軟件,都由網(wǎng)友上傳,如有侵犯你的版權(quán),請(qǐng)發(fā)郵件[email protected]
湘ICP備2022002427號(hào)-10 湘公網(wǎng)安備:43070202000427號(hào)© 2013~2024 haote.com 好特網(wǎng)