首頁 > 關于我們 > 新聞動態 > 深度解讀

金融行業十大類“網紅”漏洞 你都認識嗎?

發布時間 2020-03-06

提起網紅

大家腦海里最先浮現的是

網絡紅人、網紅店鋪、網紅小吃

……


今天

小編給大家盤點不一樣的網紅

金融行業十大類“網紅”漏洞


近年來,隨著云、大、物、智、移等新技術在金融行業的深度融合與應用創新,給行業發展增添更多新生活力,同時也暴露出復雜多樣的信息安全問題。


啟明星辰基于金融行業研究和項目實踐總結,整理歸納出近年來金融行業“活躍度”較高的十大類漏洞(排名不分先后),并提出一些安全建議,供廣大金融行業用戶參考。


業務邏輯類漏洞


金融行業與資金流動緊密相關,互聯網金融、網上銀行、移動支付等新興模式已趨于常態化,這對金融機構系統或網站設計提出更高要求。若涉及到資金交易等某些功能模塊存在缺陷,產生的業務邏輯類漏洞很容易給金融機構造成重大利益損失。


業務邏輯類問題主要為:


? 允許篡改交易過程中的積分、金額、數量、收款人信息;

? 通過網頁可以直接獲取短信驗證碼;

? 關鍵操作缺乏二次認證;

? 客戶端可以控制購買商品單價;

? 轉賬、支付金額允許為負值;

? 重置任意用戶賬戶密碼。


啟明星辰安全建議


金融機構針對交易類業務,應考慮到防數據篡改、防止重放攻擊等問題;針對重點參數,如單價、金額等參數需在服務端生成或對客戶端提交的數據進行二次認證。


數據泄露漏洞


近年來,金融機構遭受到的網絡安全攻擊日益頻繁,銀行賬戶、個人隱私等敏感信息被盜取的情況時有發生,給金融機構、企業及個人造成難以預估的損失。在我國已頒布《網絡安全法》、《個人金融信息保護技術規范》,正在制定數據安全法的背景下,如何保護用戶隱私和數據安全、如何防止金融行業出現重大數據泄露事件仍然是網絡安全領域的關注重點。


近年來金融行業重大數據泄露事件


啟明星辰安全建議


當前金融機構對信息和數據安全較為重視,業務系統的安全防護更為嚴密。建議金融機構定期進行員工個人信息安全意識的培訓工作,同時可通過啟明星辰天清漢馬USG數據防泄露系統(DLP),幫助管理者發現組織內部潛在的泄密風險,以有效降低數據泄露的可能性。


中間件漏洞


金融機構系統開發大都使用Apache Tomact、struts2、Weblogic、ngnix等中間件,因此第三方組件漏洞往往是攻擊者嘗試挖掘的重點,需要引起高度重視。



啟明星辰安全建議


管理員應實時關注中間件相關漏洞,對存在漏洞的中間件及時進行更新或打補丁。啟明星辰可為用戶提供天鏡脆弱性掃描與管理系統,對主機操作系統以及網絡設備的脆弱性檢查、評估與管理,幫助安全運維人員及時發現相關漏洞,降低安全隱患發生的風險。


第三方系統漏洞


伴隨互聯網金融的發展,不同類型的金融機構為滿足用戶的個性化需求,在建立系統開發能力的過程中,大量使用第三方的應用或框架,比如OA系統、郵件系統等,以便提升金融服務效能,這也導致第三方系統漏洞成為較為常見的攻擊選擇。



啟明星辰安全建議


建議金融機構對所使用的第三方應用系統更新情況進行實時關注,并第一時間進行更新,以降低第三方系統漏洞可能帶來的安全隱患。


跨站腳本攻擊漏洞


跨站腳本攻擊是最常見的Web應用程序漏洞之一,當用戶瀏覽被嵌入惡意代碼網頁時,惡意代碼將會在用戶瀏覽器上執行,進而盜取管理員的Cookie、篡改網頁或跳轉至釣魚頁面、惡意系統等。



啟明星辰安全建議


建議對特殊字符進行過濾,不信任用戶提交的任何內容,并對用戶輸入的內容進行檢測。


跨站請求偽造(CSRF)漏洞


跨站請求偽造漏洞指攻擊者利用用戶向服務器發送請求,導致用戶信息被迫修改,甚至可引發蠕蟲攻擊。該漏洞可造成金融行業客戶敏感信息泄露、非授權操作客戶賬戶及CSRF蠕蟲等危害。




跨站請求偽造(CSRF)攻擊流程圖


啟明星辰安全建議


建議通過檢驗Referer字段并添加token進行校驗的方式,避免發生CSRF漏洞。


主機漏洞


Windows和linux作為主流的操作系統,若未及時更新補丁,一旦被攻擊者利用將會造成惡意代碼執行、權限提升等問題,導致電腦丟失重要資料和信息,甚至系統被破壞。



啟明星辰安全建議


建議使用啟明星辰天鏡脆弱性掃描與管理系統,對主機操作系統進行脆弱性分析,及時發現脆弱點進而做到及時修補。


SQL注入漏洞


SQL注入作為數據庫攻擊和Web應用的一種攻擊手段,經常被攻擊者視為進到內網的突破口。在項目實踐過程中,攻擊者以SQL注入漏洞獲取系統相關數據,登陸后臺管理系統進而對后臺管理系統進行滲透測試。



啟明星辰安全建議


建議使用參數化查詢方式進行SQL查詢,過濾特殊字符,同時嚴格控制數據庫用戶的權限,對核心業務數據庫信息進行加密處理。另外可采用啟明星辰天玥數據庫審計系統,以有效針對數據庫非法訪問行為、數據庫入侵行為、違規訪問行為等進行實時告警和審計,及時發現違規風險問題,有效防護數據庫安全。


任意文件上傳漏洞


金融機構很多系統都提供文件上傳功能,在操作過程中,一旦出現在服務器端沒有對上傳文件的類型、大小、保存路徑及文件名進行嚴格限制,攻擊者就很容易上傳后門程序取得WebShell,從而控制服務器。



啟明星辰安全建議


建議使用白名單驗證對上傳文件類型進行過濾,可采用啟明星辰天清入侵防御系統(IPS),及時準確發現各類入侵攻擊行為,并執行實時精確阻斷。


命令執行漏洞


命令執行漏洞是由于Web服務器對用戶輸入命令檢測不足,導致攻擊者可以在Web應用中執行系統命令,從而獲取敏感信息或者拿下服務器權限。更常見的命令執行漏洞是發生在各種Web組件、Web容器、Web框架、CMS等。



啟明星辰安全建議



建議金融機構及時對存在漏洞的組件、框架等進行更新,同時可借助啟明星辰Web應用防火墻,來防御以 Web 應用程序漏洞為目標的攻擊,并針對 Web 服務器進行 HTTP/HTTPS 流量分析,及針對 Web 應用訪問各方面進行優化。


在金融科技持續發展和信息化進程不斷推進下,金融行業面臨的網絡安全威脅更趨于多元化和復雜化,勢必會激發更多新的需求與挑戰。作為網絡安全行業領軍企業,啟明星辰將繼續秉承初心,持續為廣大金融行業用戶提供高質量的產品和服務,與行業用戶一同砥礪前行,應對考驗。

上一篇 下一篇