互金专委会:1529家互金网站共发现7210个漏洞 中高危网站占比64.9%

『从抽样监测分析的结果来看,目前互联网金融行业的网络安全情况不甚乐观,存在的风险较高,部分企业的安全防护意识和投入不足,对安全漏洞可能带来的风险认识不到位。

来源:P2P评论

P2P评论讯 1月2日,国家互联网金融安全技术专家委员会发布互联网金融网站漏洞分析报告。报告指出,目前互联网金融行业的网络安全情况不甚乐观,存在的风险较高,部分企业的安全防护意识和投入不足,对安全漏洞可能带来的风险认识不到位。

互联网金融是金融与互联网技术相融合的领域,信息流的安全性是互联网金融发展的基础和保障。

互联网金融信息系统在运行过程中一旦发生数据泄露、盗取、篡改等事件,会使各方蒙受巨大损失,甚至影响经济和社会稳定。

近期,国家互联网金融风险分析技术平台对互联网金融行业的网站漏洞情况进行了抽样分析,形成本期报告。

1、安全漏洞概览

本次监测分析覆盖北京、深圳、浙江等省市共1529家互联网金融平台网站。按照风险的强弱等级进行统计,其中高危评级网站占比12.4%,中危评级网站占比52.5%。共发现漏洞7210个,其中高危漏洞451个,占比6.2%,中危漏洞3395个,占比47.1%,危险等级分布如下图所示。

2、高危漏洞分布情况

高危级别的安全漏洞危害程度高,反映了迫切需要解决的安全问题。下图展示了出现最多的10种高危漏洞的分布情况,排名前三的是跨站脚本、PHP版本官方不提供安全补丁和SQL注入。

跨站脚本漏洞在每年的OWASP TOP10中一直名列前茅,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得用户在浏览此网页时,这些代码注入到用户的浏览器中执行,使用户受到攻击。

一般而言,利用跨站脚本攻击,攻击者可窃取会话COOKIE从而窃取网站用户的密码等隐私数据。

对于SQL注入漏洞,攻击者可在易受攻击的系统上执行任意SQL语句,损害数据库的完整性和暴露敏感信息。根据使用中的后端数据库,SQL注入漏洞导致攻击者不同级别的数据和系统访问。

不仅可以操作现有查询,还可以在任意数据中联合,使用子选择或附加查询。在某些情况下,可以读取或写入文件,或者在底层操作系统上执行shell命令。

3、安全漏洞总体分布情况

通常来说,与高危漏洞相比,中低危漏洞在实际运行环境中的危害相对较小,但仍能在一定程度上反映出系统质量、开发人员对安全问题的重视程度等。为了更全面的了解互联网金融行业的安全状况,下图展示了包括中低危漏洞在内的所有级别安全漏洞TOP20的分布情况。

经统计,点击劫持漏洞占整个web漏洞数量约8.5%,用户在不知情的情况下被伪装的按钮挟持,极易诱发财产流失。其它例如弱算法漏洞,一定条件下,密文可以被破解得到明文,通过拦截正常的网络通信数据,并进行数据篡改和嗅探。

如果用户登录存在该漏洞网站或使用相关软件,用户的信息和提交的数据请求可能被篡改或泄漏。对于用户凭证明文发送漏洞,用户传输的账号、密文或者身份验证码未加密传输,通过拦截正常的网络通信数据,并进行数据篡改和嗅探,可直接获取,导致信息泄漏和账号密码被盗。

4、总结

从抽样监测分析的结果来看,目前互联网金融行业的网络安全情况不甚乐观,存在的风险较高,部分企业的安全防护意识和投入不足,对安全漏洞可能带来的风险认识不到位。

建议各企业切实加强安全防护意识和防护水平,建立健全信息安全管理体系,完善安全保障措施,定期开展网络信息安全风险评估,预警和防范内外部风险。

本文首发于微信公众号:P2P评论。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2018-01-02
互金专委会:1529家互金网站共发现7210个漏洞 中高危网站占比64.9%
互金专委会:1529家互金网站共发现7210个漏洞 中高危网站占比64 9%

长按扫码 阅读全文

Baidu
map