互金專委會:共發(fā)現(xiàn)7210個互金網(wǎng)站漏洞 中高危漏洞占比超5成
發(fā)布時間:2018-01-041月2日,國家互聯(lián)網(wǎng)金融安全技術(shù)專家委員會(下稱“專委會”)發(fā)布互聯(lián)網(wǎng)金融網(wǎng)站漏洞分析報告,。
專委會表示,互聯(lián)網(wǎng)金融信息系統(tǒng)在運行過程中一旦發(fā)生數(shù)據(jù)泄露,、盜取,、篡改等事件,,會使各方蒙受巨大損失,甚至影響經(jīng)濟(jì)和社會穩(wěn)定,。近期,,國家互聯(lián)網(wǎng)金融風(fēng)險分析技術(shù)平臺對互聯(lián)網(wǎng)金融行業(yè)的網(wǎng)站漏洞情況進(jìn)行了抽樣分析,形成本期報告,,具體如下:
1,、安全漏洞概覽
本次監(jiān)測分析覆蓋北京、深圳,、浙江等省市共1529家互聯(lián)網(wǎng)金融平臺網(wǎng)站,。按照風(fēng)險的強弱等級進(jìn)行統(tǒng)計,其中高危評級網(wǎng)站占比12.4%,,中危評級網(wǎng)站占比52.5%,。共發(fā)現(xiàn)漏洞7210個,其中高危漏洞451個,,占比6.2%,,中危漏洞3395個,占比47.1%,。
2,、高危漏洞分布情況
高危級別的安全漏洞危害程度高,反映了迫切需要解決的安全問題,。下圖展示了出現(xiàn)最多的10種高危漏洞的分布情況,,排名前三的是跨站腳本、PHP版本官方不提供安全補丁和SQL注入,。
跨站腳本漏洞在每年的OWASP TOP10中一直名列前茅,,可被用于進(jìn)行竊取隱私、釣魚欺騙,、偷取密碼,、傳播惡意代碼等攻擊行為。惡意的攻擊者將對客戶端有危害的代碼放到服務(wù)器上作為一個網(wǎng)頁內(nèi)容,,使得用戶在瀏覽此網(wǎng)頁時,,這些代碼注入到用戶的瀏覽器中執(zhí)行,使用戶受到攻擊,。一般而言,,利用跨站腳本攻擊,攻擊者可竊取會話COOKIE從而竊取網(wǎng)站用戶的密碼等隱私數(shù)據(jù),。
對于SQL注入漏洞,,攻擊者可在易受攻擊的系統(tǒng)上執(zhí)行任意SQL語句,,損害數(shù)據(jù)庫的完整性和暴露敏感信息。根據(jù)使用中的后端數(shù)據(jù)庫,,SQL注入漏洞導(dǎo)致攻擊者不同級別的數(shù)據(jù)和系統(tǒng)訪問,。不僅可以操作現(xiàn)有查詢,還可以在任意數(shù)據(jù)中聯(lián)合,,使用子選擇或附加查詢,。在某些情況下,可以讀取或?qū)懭胛募?,或者在底層操作系統(tǒng)上執(zhí)行shell命令,。
3、安全漏洞總體分布情況
通常來說,,與高危漏洞相比,中低危漏洞在實際運行環(huán)境中的危害相對較小,,但仍能在一定程度上反映出系統(tǒng)質(zhì)量,、開發(fā)人員對安全問題的重視程度等。為了更全面的了解互聯(lián)網(wǎng)金融行業(yè)的安全狀況,,下圖展示了包括中低危漏洞在內(nèi)的所有級別安全漏洞TOP20的分布情況,。
經(jīng)統(tǒng)計,點擊劫持漏洞占整個web漏洞數(shù)量約8.5%,,用戶在不知情的情況下被偽裝的按鈕挾持,,極易誘發(fā)財產(chǎn)流失。其它例如弱算法漏洞,,一定條件下,,密文可以被破解得到明文,通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù),,并進(jìn)行數(shù)據(jù)篡改和嗅探,。如果用戶登錄存在該漏洞網(wǎng)站或使用相關(guān)軟件,用戶的信息和提交的數(shù)據(jù)請求可能被篡改或泄漏,。對于用戶憑證明文發(fā)送漏洞,,用戶傳輸?shù)馁~號、密文或者身份驗證碼未加密傳輸,,通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù),,并進(jìn)行數(shù)據(jù)篡改和嗅探,可直接獲取,,導(dǎo)致信息泄漏和賬號密碼被盜,。
總體來說,從抽樣監(jiān)測分析的結(jié)果來看,,目前互聯(lián)網(wǎng)金融行業(yè)的網(wǎng)絡(luò)安全情況不甚樂觀,,存在的風(fēng)險較高,,部分企業(yè)的安全防護(hù)意識和投入不足,對安全漏洞可能帶來的風(fēng)險認(rèn)識不到位,。建議各企業(yè)切實加強安全防護(hù)意識和防護(hù)水平,,建立健全信息安全管理體系,完善安全保障措施,,定期開展網(wǎng)絡(luò)信息安全風(fēng)險評估,,預(yù)警和防范內(nèi)外部風(fēng)險。(來源:鳳凰網(wǎng))
