首页 > 关于抖圈为赌而生 > 新闻动态 > 深度解读

金融行业十大类“网红”漏洞你都认识吗?

宣布时间 2020-03-06

提起网红

各人脑海里最先浮现的是

网络红人、网红店肆、网红小吃

……

今天

小编给各人盘点纷歧样的网红

金融行业十大类“网红”漏洞

近年来，随着云、大、物、智、移等新技术在金融行业的深度融合与应用创新，给行业生长增添更多新生活力，同时也袒露出庞大多样的信息宁静问题。

抖圈为赌而生基于金融行业研究和项目实践总结，整理归纳出近年来金融行业“活跃度”较高的十大类漏洞（排名不分先后），并提出一些宁静建议，供广大金融行业用户参考。

业务逻辑类漏洞

金融行业与资金流动紧密相关，互联网金融、网上银行、移动支付等新兴模式已趋于常态化，这对金融机构系统或网站设计提出更高要求。若涉及到资金交易等某些功效�？榇嬖谌毕�，发生的业务逻辑类漏洞很容易给金融机结构成重大利益损失。

业务逻辑类问题主要为：

? 允许改动交易过程中的积分、金额、数量、收款人信息；

? 通过网页可以直接获取短信验证码；

? 要害操作缺乏二次认证；

? 客户端可以控制购置商品单价；

? 转账、支付金额允许为负值；

? 重置任意用户账户密码。

抖圈为赌而生宁静建议

金融机构针对交易类业务，应考虑到防数据改动、防止重放攻击等问题；针对重点参数，如单价、金额等参数需在服务端生成或对客户端提交的数据进行二次认证。

数据泄露漏洞

近年来，金融机构遭受到的网络宁静攻击日益频繁，银行账户、个人隐私等敏感信息被偷取的情况时有发生，给金融机构、企业及个人造成难以预估的损失。在我国已颁布《网络宁静法》、《个人金融信息�；ぜ际豕娣丁�，正在制定数据宁静法的配景下，如何�；び没б胶褪菽病⑷绾畏乐菇鹑谛幸捣浩鹬卮笫菪孤妒录匀皇峭缒擦煊虻墓刈⒅氐�。

近年来金融行业重大数据泄露事件

尊龙抖圈 - 为du而生

抖圈为赌而生宁静建议

当前金融机构对信息和数据宁静较为重视，业务系统的宁静防护更为严密。建议金融机构定期进行员工个人信息宁静意识的培训事情，同时可通过抖圈为赌而生天清汉马USG数据防泄露系统（DLP），资助管理者发现组织内部潜在的泄密风险，以有效降低数据泄露的可能性。

中间件漏洞

金融机构系统开发多数使用Apache Tomact、struts2、Weblogic、ngnix等中间件，因此第三方组件漏洞往往是攻击者实验挖掘的重点，需要引起高度重视。

尊龙抖圈 - 为du而生

抖圈为赌而生宁静建议

管理员应实时关注中间件相关漏洞，对存在漏洞的中间件及时进行更新或打补丁。抖圈为赌而生可为用户提供天镜脆弱性扫描与管理系统，对主机操作系统以及网络设备的脆弱性检查、评估与管理，资助宁静运维人员及时发现相关漏洞，降低宁静隐患发生的风险。

第三方系统漏洞

陪同互联网金融的生长，差异类型的金融机构为满足用户的个性化需求，在建立系统开发能力的过程中，大量使用第三方的应用或框架，好比OA系统、邮件系统等，以便提升金融服务效能，这也导致第三方系统漏洞成为较为常见的攻击选择。

尊龙抖圈 - 为du而生

抖圈为赌而生宁静建议

建议金融机构对所使用的第三方应用系统更新情况进行实时关注，并第一时间进行更新，以降低第三方系统漏洞可能带来的宁静隐患。

跨站脚本攻击漏洞

跨站脚本攻击是最常见的Web应用法式漏洞之一，当用户浏览被嵌入恶意代码网页时，恶意代码将会在用户浏览器上执行，进而偷取管理员的Cookie、改动网页或跳转至钓鱼页面、恶意系统等。

尊龙抖圈 - 为du而生

抖圈为赌而生宁静建议

建议对特殊字符进行过滤，不信任用户提交的任何内容，并对用户输入的内容进行检测。

跨站请求伪造（CSRF）漏洞

跨站请求伪造漏洞指攻击者利用用户向服务器发送请求，导致用户信息被迫修改，甚至可引发蠕虫攻击。该漏洞可造成金融行业客户敏感信息泄露、非授权操作客户账户及CSRF蠕虫等危害。

尊龙抖圈 - 为du而生

跨站请求伪造（CSRF）攻击流程图

抖圈为赌而生宁静建议

建议通过检验Referer字段并添加token进行校验的方式，制止发生CSRF漏洞。

主机漏洞

Windows和linux作为主流的操作系统，若未及时更新补丁，一旦被攻击者利用将会造成恶意代码执行、权限提升等问题，导致电脑丢失重要资料和信息，甚至系统被破坏。

尊龙抖圈 - 为du而生

抖圈为赌而生宁静建议

建议使用抖圈为赌而生天镜脆弱性扫描与管理系统，对主机操作系统进行脆弱性分析，及时发现脆弱点进而做到及时修补。

SQL注入漏洞

SQL注入作为数据库攻击和Web应用的一种攻击手段，经常被攻击者视为进到内网的突破口。在项目实践过程中，攻击者以SQL注入漏洞获取系统相关数据，登陆后台管理系统进而对后台管理系统进行渗透测试。

尊龙抖圈 - 为du而生

抖圈为赌而生宁静建议

建议使用参数化查询方式进行SQL查询，过滤特殊字符，同时严格控制数据库用户的权限，对核心业务数据库信息进行加密处置。另外可接纳抖圈为赌而生天玥数据库审计系统，以有效针对数据库非法访问行为、数据库入侵行为、违规访问行为等进行实时告警和审计，及时发现违规风险问题，有效防护数据库宁静。

任意文件上传漏洞

金融机构很多系统都提供文件上传功效，在操作过程中，一旦泛起在服务器端没有对上传文件的类型、巨细、生存路径及文件名进行严格限制，攻击者就很容易上传后门法式取得WebShell，从而控制服务器。

尊龙抖圈 - 为du而生

抖圈为赌而生宁静建议

建议使用白名单验证对上传文件类型进行过滤，可接纳抖圈为赌而生天清入侵防御系统（IPS），及时准确发现种种入侵攻击行为，并执行实时精确阻断。

命令执行漏洞

命令执行漏洞是由于Web服务器对用户输入命令检测不足，导致攻击者可以在Web应用中执行系统命令，从而获取敏感信息或者拿下服务器权限。更常见的命令执行漏洞是发生在种种Web组件、Web容器、Web框架、CMS等。

尊龙抖圈 - 为du而生

抖圈为赌而生宁静建议

建议金融机构及时对存在漏洞的组件、框架等进行更新，同时可借助抖圈为赌而生Web应用防火墙，来防御以 Web 应用法式漏洞为目标的攻击，并针对 Web 服务器进行 HTTP/HTTPS 流量分析，及针对 Web 应用访问各方面进行优化。

在金融科技连续生长和信息化进程不停推进下，金融行业面临的网络宁静威胁更趋于多元化和庞大化，势必会激发更多新的需求与挑战。作为网络宁静行业领军企业，抖圈为赌而生将继续承袭初心，连续为广大金融行业用户提供高质量的产物和服务，与行业用户一同砥砺前行，应对考验。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

关于抖圈为赌而生

金融行业十大类“网红”漏洞你都认识吗?

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线

软件升级

投资者关系

关于抖圈为赌而生

金融行业十大类“网红”漏洞 你都认识吗?

7*24小时服务热线

金融行业十大类“网红”漏洞你都认识吗?