互金平台的安全阴影

因为上周五要接待一波互联网金融企业的技术负责人，所以之前让团队做了一些相关的准备，而其中就饶有兴趣地看了一下互金行业的安全漏洞情况。

尽管之前已经有一些预期：互金平台必然是安全问题的重灾区，但简单调研下来的情况证明我还是有点太天真了。

团队去补天、乌云等相关平台按照互金的行业进行了搜索和收集，平台上能公开捞到的漏洞就达88000+，着实吓了我们一跳。考虑到平台的特性、企业上这类平台的比例以及企业公开的意愿，可以推知真实的数字将是更加惊人。

测略君在过去几年与一些互金公司的人员也有过一些交流，几乎大部分都曾有碰到过被攻击的情况，有些甚至频度不低，可谓不堪其扰。

我们团队自己也去下载了一部分互金的手机APP安装包，通过对安装包进行线下扫描的方式评价其安全性。在抽样的18个应用安装包中，数据也不理想：最少的扫出了21个，最多的则扫出37个。

尽管大比例的漏洞的严重等级不高，但是始终也是一个隐患。借助这些漏洞，“黑客们”可以用不高的代价不同层面地侵入到平台系统中。

基于从补天、乌云等平台采集下来的数据进行分析，SQL注入接近28000个，冠绝漏洞排行版。紧随其后的九类漏洞分别为：设计缺陷/逻辑错误、后台弱口令、敏感信息泄露、命令执行、XSS跨站脚本攻击、未授权访问/权限绕过、系统/服务运维配置不当、文件上传导致任意代码执行、成功的入侵事件，如下图所示。

注：本图片数据采集自补天、乌云等平台

而仔细看这些漏洞，其实并非都是一些很棘手的问题，即大部分可以通过在开发过程中的规范进行避免以及后续的加固让系统更有保障。

而目前不理想的现实，一方面，可能因为企业的意识还没有到位，大家的关注点还在业务功能，从而没有在系统安全上投入足够资源，顶多是碰到问题了再想着补救；另外一方面，程序员本身在规避和修复漏洞上也没有系统和专门的训练，因此不经意间留下了一个个坑。

类似这样的阴影笼罩于互金这个新兴行业的上空，将来一旦爆发，是否会对行业造成致命打击还不一定有定论，但是代价必然会是惨痛的。

当然，对于测试从业人员来说，这样的现状或许是一个“福音”，简单的逻辑就是：掌握安全测试技能还是很有前途的。