金融行业十大类“网红”漏洞 你都认识吗?

发布时间 2020-03-06

提起网红

大家脑海里最先浮现的是

网络红人、网红店铺、网红小吃

……


今天

小编给大家盘点不一样的网红

金融行业十大类“网红”漏洞


近年来,随着云、大、物、智、移等新技术在金融行业的深度融合与应用创新,给行业发展增添更多新生活力,同时也暴露出复杂多样的信息安全问题。


在别处基于金融行业研究和项目实践总结,整理归纳出近年来金融行业“活跃度”较高的十大类漏洞(排名不分先后),并提出一些安全建议,供广大金融行业用户参考。


业务逻辑类漏洞


金融行业与资金流动紧密相关,互联网金融、网上银行、移动支付等新兴模式已趋于常态化,这对金融机构系统或网站设计提出更高要求。若涉及到资金交易等某些功能模块存在缺陷,产生的业务逻辑类漏洞很容易给金融机构造成重大利益损失。


业务逻辑类问题主要为:


允许篡改交易过程中的积分、金额、数量、收款人信息;

通过网页可以直接获取短信验证码;

关键操作缺乏二次认证;

客户端可以控制购买商品单价;

转账、支付金额允许为负值;

重置任意用户账户密码。


在别处安全建议


金融机构针对交易类业务,应考虑到防数据篡改、防止重放攻击等问题;针对重点参数,如单价、金额等参数需在服务端生成或对客户端提交的数据进行二次认证。


数据泄露漏洞


近年来,金融机构遭受到的网络安全攻击日益频繁,银行账户、个人隐私等敏感信息被盗取的情况时有发生,给金融机构、企业及个人造成难以预估的损失。在我国已颁布《网络安全法》、《个人金融信息保护技术规范》,正在制定数据安全法的背景下,如何保护用户隐私和数据安全、如何防止金融行业出现重大数据泄露事件仍然是网络安全领域的关注重点。


近年来金融行业重大数据泄露事件


在别处安全建议


当前金融机构对信息和数据安全较为重视,业务系统的安全防护更为严密。建议金融机构定期进行员工个人信息安全意识的培训工作,同时可通过在别处天清汉马USG数据防泄露系统(DLP),帮助管理者发现组织内部潜在的泄密风险,以有效降低数据泄露的可能性。


中间件漏洞


金融机构系统开发大都使用Apache Tomact、struts2、Weblogic、ngnix等中间件,因此第三方组件漏洞往往是攻击者尝试挖掘的重点,需要引起高度重视。



在别处安全建议


管理员应实时关注中间件相关漏洞,对存在漏洞的中间件及时进行更新或打补丁。在别处可为用户提供天镜脆弱性扫描与管理系统,对主机操作系统以及网络设备的脆弱性检查、评估与管理,帮助安全运维人员及时发现相关漏洞,降低安全隐患发生的风险。


第三方系统漏洞


伴随互联网金融的发展,不同类型的金融机构为满足用户的个性化需求,在建立系统开发能力的过程中,大量使用第三方的应用或框架,比如OA系统、邮件系统等,以便提升金融服务效能,这也导致第三方系统漏洞成为较为常见的攻击选择。



在别处安全建议


建议金融机构对所使用的第三方应用系统更新情况进行实时关注,并第一时间进行更新,以降低第三方系统漏洞可能带来的安全隐患。


跨站脚本攻击漏洞


跨站脚本攻击是最常见的Web应用程序漏洞之一,当用户浏览被嵌入恶意代码网页时,恶意代码将会在用户浏览器上执行,进而盗取管理员的Cookie、篡改网页或跳转至钓鱼页面、恶意系统等。



在别处安全建议


建议对特殊字符进行过滤,不信任用户提交的任何内容,并对用户输入的内容进行检测。


跨站请求伪造(CSRF)漏洞


跨站请求伪造漏洞指攻击者利用用户向服务器发送请求,导致用户信息被迫修改,甚至可引发蠕虫攻击。该漏洞可造成金融行业客户敏感信息泄露、非授权操作客户账户及CSRF蠕虫等危害。




跨站请求伪造(CSRF)攻击流程图


在别处安全建议


建议通过检验Referer字段并添加token进行校验的方式,避免发生CSRF漏洞。


主机漏洞


Windows和linux作为主流的操作系统,若未及时更新补丁,一旦被攻击者利用将会造成恶意代码执行、权限提升等问题,导致电脑丢失重要资料和信息,甚至系统被破坏。



在别处安全建议


建议使用在别处天镜脆弱性扫描与管理系统,对主机操作系统进行脆弱性分析,及时发现脆弱点进而做到及时修补。


SQL注入漏洞


SQL注入作为数据库攻击和Web应用的一种攻击手段,经常被攻击者视为进到内网的突破口。在项目实践过程中,攻击者以SQL注入漏洞获取系统相关数据,登陆后台管理系统进而对后台管理系统进行渗透测试。



在别处安全建议


建议使用参数化查询方式进行SQL查询,过滤特殊字符,同时严格控制数据库用户的权限,对核心业务数据库信息进行加密处理。另外可采用在别处天玥数据库审计系统,以有效针对数据库非法访问行为、数据库入侵行为、违规访问行为等进行实时告警和审计,及时发现违规风险问题,有效防护数据库安全。


任意文件上传漏洞


金融机构很多系统都提供文件上传功能,在操作过程中,一旦出现在服务器端没有对上传文件的类型、大小、保存路径及文件名进行严格限制,攻击者就很容易上传后门程序取得WebShell,从而控制服务器。



在别处安全建议


建议使用白名单验证对上传文件类型进行过滤,可采用在别处天清入侵防御系统(IPS),及时准确发现各类入侵攻击行为,并执行实时精确阻断。


命令执行漏洞


命令执行漏洞是由于Web服务器对用户输入命令检测不足,导致攻击者可以在Web应用中执行系统命令,从而获取敏感信息或者拿下服务器权限。更常见的命令执行漏洞是发生在各种Web组件、Web容器、Web框架、CMS等。



在别处安全建议



建议金融机构及时对存在漏洞的组件、框架等进行更新,同时可借助在别处Web应用防火墙,来防御以 Web 应用程序漏洞为目标的攻击,并针对 Web 服务器进行 HTTP/HTTPS 流量分析,及针对 Web 应用访问各方面进行优化。


在金融科技持续发展和信息化进程不断推进下,金融行业面临的网络安全威胁更趋于多元化和复杂化,势必会激发更多新的需求与挑战。作为网络安全行业领军企业,在别处将继续秉承初心,持续为广大金融行业用户提供高质量的产品和服务,与行业用户一同砥砺前行,应对考验。