国家互金专委会发布互金网站漏洞分析报告:高危漏洞占比6.2%

亚洲财经讯 2018年1月2日,国家互联网金融安全技术专家委员会(以下简称“专委会”)发布“全国互联网金融阳光计划”第二十七周-互联网金融网站漏洞分析报告。

报告显示,国家互联网金融风险分析技术平台近期对覆盖北京、深圳、浙江等省市,共1529家互联网金融平台网站的漏洞情况进行了抽样分析监测。按照风险的强弱等级进行统计,其中高危评级网站占比12.4%,中危评级网站占比52.5%。本次监测共发现漏洞7210个,其中高危漏洞451个,占比6.2%,中危漏洞3395个,占比47.1%。

图为危险等级分布

根据报告,高危级别的安全漏洞危害程度高,反映了迫切需要解决的安全问题。其中,跨站脚本、PHP版本官方不提供安全补丁和SQL注入等10种高危漏洞出现最多。

图为10种高危漏洞的分布情况

报告显示,跨站脚本漏洞在每年的OWASP TOP10中一直名列前茅,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容,使得用户在浏览此网页时,这些代码注入到用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃取会话COOKIE从而窃取网站用户的密码等隐私数据。

对于SQL注入漏洞,攻击者可在易受攻击的系统上执行任意SQL语句,损害数据库的完整性和暴露敏感信息。根据使用中的后端数据库,SQL注入漏洞导致攻击者不同级别的数据和系统访问。不仅可以操作现有查询,还可以在任意数据中联合,使用子选择或附加查询。在某些情况下,可以读取或写入文件,或者在底层操作系统上执行shell命令。

通常来说,与高危漏洞相比,中低危漏洞在实际运行环境中的危害相对较小,但仍能在一定程度上反映出系统质量、开发人员对安全问题的重视程度等。

图为包括中低危漏洞在内的所有级别安全漏洞TOP20的分布情况

经统计,点击劫持漏洞占整个web漏洞数量约8.5%,用户在不知情的情况下被伪装的按钮挟持,极易诱发财产流失。其它例如弱算法漏洞,一定条件下,密文可以被破解得到明文,通过拦截正常的网络通信数据,并进行数据篡改和嗅探。如果用户登录存在该漏洞网站或使用相关软件,用户的信息和提交的数据请求可能被篡改或泄漏。对于用户凭证明文发送漏洞,用户传输的账号、密文或者身份验证码未加密传输,通过拦截正常的网络通信数据,并进行数据篡改和嗅探,可直接获取,导致信息泄漏和账号密码被盗。

专委会表示,从抽样监测分析的结果来看,目前互联网金融行业的网络安全情况不甚乐观,存在的风险较高,部分企业的安全防护意识和投入不足,对安全漏洞可能带来的风险认识不到位。建议各企业切实加强安全防护意识和防护水平,建立健全信息安全管理体系,完善安全保障措施,定期开展网络信息安全风险评估,预警和防范内外部风险。

热门推荐

版权保护声明:亚洲财经选发有优质传播价值的内容,我们极其尊重优质原创内容的版权,如所选内容未能联系到原文作者本人,请作者和yazhoucaijing(微信)联系。

亚洲财经网是我国第一家立足国内,辐射亚洲,致力于打造亚洲地区最具影响力的全金融门户网站;是一个集合金融征信、大数据应用的金融服务平台,是一家以互联网金融产品为主题的UGC聚合互动平台。

本文来自企鹅号 - 亚洲财经媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏服务端技术杂谈

网络渗透那些事儿

本杰明是一个这样的人:三次元现实世界中,他是一个十足的屌丝&Loser,难以找到存在感,没有时尚感、没有朋友,也没有女朋友。

1033
来自专栏信安之路

我们来聊一聊渗透测试

最近想了很多关于我们公众号的发展,如何做出我们自己的特点,虽然大家都很喜欢干货文章,我们也在分享干货文章,但是干货文章只要有技术都是可以写出来了,而且很多干货,...

1030
来自专栏FreeBuf

攻击者使用“非恶意软件”也能识别,来看看这个即将在RSA 2017上发布的新技术

常见的黑客攻击往往以病毒程序或恶意文件为载体,通过网络进行传播——这种攻击方式较容易被端点防护程序所检测到。但是如果黑客不走寻常路呢?在下周即将到来的RSA C...

16910
来自专栏黑白安全

因态度诚恳 黑客决定无条件删除所窃A站数据

6月12日攻击A站的黑客在地下论坛发帖称,因A站客服态度诚恳和对二次元世界的热爱,团队决定无条件删除所窃数据库。

612
来自专栏黑白安全

流量攻击已形成黑色产业链 江苏四人被提起公诉

利用黑客软件扫描他人电脑,盗取最高管理权限后,非法控制85台计算机,利用这些计算机攻击他人网站,非法获利2万余元。近日,江苏省淮安市洪泽区检察院依法对涉嫌非法控...

441
来自专栏FreeBuf

从恶意流量看2018十大互联网安全趋势

「天下熙熙,皆为利来;天下攘攘,皆为利往。」太史公一语道尽众生之奔忙。在虚拟的世界,同样有着海量的「众生」,它们默默无闻,它们不知疲倦,它们无穷无尽,同样为了「...

832
来自专栏区块链

常规渗透没过时,就怕你人傻钱多

E安全12月11日讯 网络安全公司SafeBreach近期发布了最新版本的“黑客秘笈”(Hacker’s Playbook)报告,报告指出许多组织机构仍难以应对...

2000
来自专栏FreeBuf

Vault 7系列“阴影”项目曝光:雷神公司暗中为CIA提供恶意程序分析

本周三(7 月 19 日),维基解密照例披露了 CIA Vault 7 系列文件,不过与以往直接披露的工具有所不同,这次主要披露的是 CIA 的“阴影”(UMB...

3187
来自专栏BestSDK

微信二次开发SDK:可群控营销手机,智能回复等功能

本次更新主要内容:Android增加是否使用FCM推送的接口,添加语音会议功能;ios实现不同模式的实时语音会议功能,添加动态更换对方实时视频显示页面的功能。 ...

47911
来自专栏云鼎实验室的专栏

安全报告 | 从恶意流量看2018十大互联网安全趋势

 导语: 「天下熙熙,皆为利来;天下攘攘,皆为利往。」太史公一语道尽众生之奔忙。在虚拟的世界,同样有着海量的「众生」,它们默默无闻,它们不知疲倦,它们无穷无尽...

2213

扫码关注云+社区