互金漏洞分析报告出炉 网络安全不容乐观

1月2日,国家互联网金融安全技术专家委员会发布《互联网金融网站漏洞分析报告》(下简称《报告》)。《报告》指出,目前互联网金融行业的网络安全情况不甚乐观,存在的风险较高,部分企业的安全防护意识和投入不足,对安全漏洞可能带来的风险认识不到位。

《报告》显示,本次监测分析覆盖北京、深圳、浙江等省市共1529家互联网金融平台网站。按照风险的强弱等级进行统计,其中高危评级网站占比12.4%,中危评级网站占比52.5%。共发现漏洞7210个,其中高危漏洞451个,占比6.2%,中危漏洞3395个,占比47.1%。

互金专委会表示,高危级别的安全漏洞危害程度高,反映了迫切需要解决的安全问题。出现最多3种高危漏洞是跨站脚本、PHP版本官方不提供安全补丁和SQL注入。

其中,跨站脚本漏洞可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。一般而言,利用跨站脚本攻击,攻击者可窃取会话COOKIE从而窃取网站用户的密码等隐私数据。

而对于SQL注入漏洞,互金专委会指出,攻击者可在易受攻击的系统上执行任意SQL语句,损害数据库的完整性和暴露敏感信息。根据使用中的后端数据库,SQL注入漏洞导致攻击者不同级别的数据和系统访问。不仅可以操作现有查询,还可以在任意数据中联合,使用子选择或附加查询。在某些情况下,可以读取或写入文件,或者在底层操作系统上执行shell命令。

此外,经统计,点击劫持漏洞占整个web漏洞数量约8.5%,用户在不知情的情况下被伪装的按钮挟持,极易诱发财产流失。用户凭证明文发送漏洞,用户传输的账号、密文或者身份验证码未加密传输,通过拦截正常的网络通信数据,并进行数据篡改和嗅探,可直接获取,导致信息泄漏和账号密码被盗。

互金专委会指出,目前互联网金融行业的网络安全情况不甚乐观,存在的风险较高,部分企业的安全防护意识和投入不足,对安全漏洞可能带来的风险认识不到位。建议各企业切实加强安全防护意识和防护水平,建立健全信息安全管理体系,完善安全保障措施,定期开展网络信息安全风险评估,预警和防范内外部风险。

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180103A0KVXJ00?refer=cp_1026

扫码关注云+社区