金融行业十大类“网红”漏洞 你都认识吗?

宣布时间 2020-03-06

提起网红

各人脑海里最先浮现的是

网络红人、网红店肆、网红小吃

……


今天

小编给各人盘点纷歧样的网红

金融行业十大类“网红”漏洞


近年来,随着云、大、物、智、移等新技术在金融行业的深度融合与应用创新,给行业生长增添更多新生活力,同时也袒露出庞大多样的信息宁静问题 。


东森平台基于金融行业研究和项目实践总结,整理归纳出近年来金融行业“活跃度”较高的十大类漏洞(排名不分先后),并提出一些宁静建议,供广大金融行业用户参考 。


业务逻辑类漏洞


金融行业与资金流动紧密相关,互联网金融、网上银行、移动支付等新兴模式已趋于常态化,这对金融机构系统或网站设计提出更高要求 。若涉及到资金交易等某些功效� ?榇嬖谌毕�,发生的业务逻辑类漏洞很容易给金融机结构成重大利益损失 。


业务逻辑类问题主要为:


? 允许改动交易过程中的积分、金额、数量、收款人信息;

? 通过网页可以直接获取短信验证码;

? 要害操作缺乏二次认证;

? 客户端可以控制购置商品单价;

? 转账、支付金额允许为负值;

? 重置任意用户账户密码 。


东森平台宁静建议


金融机构针对交易类业务,应考虑到防数据改动、防止重放攻击等问题;针对重点参数,如单价、金额等参数需在服务端生成或对客户端提交的数据进行二次认证 。


数据泄露漏洞


近年来,金融机构遭受到的网络宁静攻击日益频繁,银行账户、个人隐私等敏感信息被偷取的情况时有发生,给金融机构、企业及个人造成难以预估的损失 。在我国已颁布《网络宁静法》、《个人金融信息�;ぜ际豕娣丁�,正在制定数据宁静法的配景下,如何�;び没б胶褪菽病⑷绾畏乐菇鹑谛幸捣浩鹬卮笫菪孤妒录匀皇峭缒擦煊虻墓刈⒅氐� 。


近年来金融行业重大数据泄露事件

东森·(中国区)官方网站


东森平台宁静建议


当前金融机构对信息和数据宁静较为重视,业务系统的宁静防护更为严密 。建议金融机构定期进行员工个人信息宁静意识的培训事情,同时可通过东森平台天清汉马USG数据防泄露系统(DLP),资助管理者发现组织内部潜在的泄密风险,以有效降低数据泄露的可能性 。


中间件漏洞


金融机构系统开发多数使用Apache Tomact、struts2、Weblogic、ngnix等中间件,因此第三方组件漏洞往往是攻击者实验挖掘的重点,需要引起高度重视 。


东森·(中国区)官方网站


东森平台宁静建议


管理员应实时关注中间件相关漏洞,对存在漏洞的中间件及时进行更新或打补丁 。东森平台可为用户提供天镜脆弱性扫描与管理系统,对主机操作系统以及网络设备的脆弱性检查、评估与管理,资助宁静运维人员及时发现相关漏洞,降低宁静隐患发生的风险 。


第三方系统漏洞


陪同互联网金融的生长,差异类型的金融机构为满足用户的个性化需求,在建立系统开发能力的过程中,大量使用第三方的应用或框架,好比OA系统、邮件系统等,以便提升金融服务效能,这也导致第三方系统漏洞成为较为常见的攻击选择 。


东森·(中国区)官方网站


东森平台宁静建议


建议金融机构对所使用的第三方应用系统更新情况进行实时关注,并第一时间进行更新,以降低第三方系统漏洞可能带来的宁静隐患 。


跨站脚本攻击漏洞


跨站脚本攻击是最常见的Web应用法式漏洞之一,当用户浏览被嵌入恶意代码网页时,恶意代码将会在用户浏览器上执行,进而偷取管理员的Cookie、改动网页或跳转至钓鱼页面、恶意系统等 。


东森·(中国区)官方网站


东森平台宁静建议


建议对特殊字符进行过滤,不信任用户提交的任何内容,并对用户输入的内容进行检测 。


跨站请求伪造(CSRF)漏洞


跨站请求伪造漏洞指攻击者利用用户向服务器发送请求,导致用户信息被迫修改,甚至可引发蠕虫攻击 。该漏洞可造成金融行业客户敏感信息泄露、非授权操作客户账户及CSRF蠕虫等危害 。


东森·(中国区)官方网站



跨站请求伪造(CSRF)攻击流程图


东森平台宁静建议


建议通过检验Referer字段并添加token进行校验的方式,制止发生CSRF漏洞 。


主机漏洞


Windows和linux作为主流的操作系统,若未及时更新补丁,一旦被攻击者利用将会造成恶意代码执行、权限提升等问题,导致电脑丢失重要资料和信息,甚至系统被破坏 。


东森·(中国区)官方网站


东森平台宁静建议


建议使用东森平台天镜脆弱性扫描与管理系统,对主机操作系统进行脆弱性分析,及时发现脆弱点进而做到及时修补 。


SQL注入漏洞


SQL注入作为数据库攻击和Web应用的一种攻击手段,经常被攻击者视为进到内网的突破口 。在项目实践过程中,攻击者以SQL注入漏洞获取系统相关数据,登陆后台管理系统进而对后台管理系统进行渗透测试 。


东森·(中国区)官方网站


东森平台宁静建议


建议使用参数化查询方式进行SQL查询,过滤特殊字符,同时严格控制数据库用户的权限,对核心业务数据库信息进行加密处置 。另外可接纳东森平台天玥数据库审计系统,以有效针对数据库非法访问行为、数据库入侵行为、违规访问行为等进行实时告警和审计,及时发现违规风险问题,有效防护数据库宁静 。


任意文件上传漏洞


金融机构很多系统都提供文件上传功效,在操作过程中,一旦泛起在服务器端没有对上传文件的类型、巨细、生存路径及文件名进行严格限制,攻击者就很容易上传后门法式取得WebShell,从而控制服务器 。


东森·(中国区)官方网站


东森平台宁静建议


建议使用白名单验证对上传文件类型进行过滤,可接纳东森平台天清入侵防御系统(IPS),及时准确发现种种入侵攻击行为,并执行实时精确阻断 。


命令执行漏洞


命令执行漏洞是由于Web服务器对用户输入命令检测不足,导致攻击者可以在Web应用中执行系统命令,从而获取敏感信息或者拿下服务器权限 。更常见的命令执行漏洞是发生在种种Web组件、Web容器、Web框架、CMS等 。


东森·(中国区)官方网站


东森平台宁静建议



建议金融机构及时对存在漏洞的组件、框架等进行更新,同时可借助东森平台Web应用防火墙,来防御以 Web 应用法式漏洞为目标的攻击,并针对 Web 服务器进行 HTTP/HTTPS 流量分析,及针对 Web 应用访问各方面进行优化 。


在金融科技连续生长和信息化进程不停推进下,金融行业面临的网络宁静威胁更趋于多元化和庞大化,势必会激发更多新的需求与挑战 。作为网络宁静行业领军企业,东森平台将继续承袭初心,连续为广大金融行业用户提供高质量的产物和服务,与行业用户一同砥砺前行,应对考验 。