今天给大家分享的是大家都有所关注的问题支付平台安全值为什么是最低的?支付漏洞频发的根本原因是什么等进行分享,希望对大家有所帮助。
国内第三方安全平台监测显示,在几大互联网金融领域中,第三方支付的安全值最低。今年4月,央行发布了《非银行支付机构分类评级管理办法》,系统安全被列为基本评价指标,占比15%,为第三大考量因素。
“乌云漏洞”平台安全专家高朋告诉记者,第三方支付平台漏洞类型普遍,主要表现在中间件漏洞导致风险、网站设计逻辑问题及诈骗。业内人士认为,安全意识的薄弱,是支付平台漏洞频发的根本原因之一。
中间件的漏洞爆发 导致大批平台中枪
第三方支付平台用于开发网站常见的通用组件有Struts 2(开源框架第二代)、Weblogic(用于开发、集成、部署、管理大型分布式Web、网络、数据库应用的Java应用服务器)、JBoss(J2EE的开放源代码的应用服务器)。
中间件的漏洞爆发会导致大批平台中枪,在第三方支付平台的安全隐患中,此类事件非常多见。
今年1月,乌云平台曝光了某知名支付平台的高危漏洞。由于Weblogic反序列化,导致海量用户可被任意登录、敏感信息泄露,涉及用户数量上亿。
高朋介绍,此次Weblogic漏洞爆发于去年11月。漏洞爆发前,Weblogic官网发出公告,根据漏洞详情发布补丁或新系统。如果运维人员关注到更新并分析、修补,上述风险便不会发生。
但在漏洞爆发了数月后,该平台依然被白帽子查出,被利用进入核心数据库。
乌云安全专家王彪告诉记者,黑客利用Weblogic漏洞进入数据库比以往容易很多。攻击者通过带有攻击代码的请求控制问题服务器,连接数据库,相当于控制服务器权限。
控制了服务器权限后,不难找到数据库并进入。白帽子的“漏洞报告”显示,该平台核心数据上亿条,涉及用户手机、身份证、验证码等。
甚至,还可看到后台账户中的余额,并在服务器上修改任意用户密码、登录,便可进行充值、提现等。如果漏洞被黑客利用,将影响平台信誉,造成不可估量的财物损失。
“查看”过程是需要时间的,如果后台有人及时发现并干预,黑客就无法操作。但该白帽子在操作过程中,并未受到任何干预。
这直接暴露了平台安全意识的薄弱。“安全意识强的团队,这种漏洞应该早打好补丁。对于团队而言,提前打补丁比事后修复更省心。”王彪表示。
不过,乌云公开漏洞后,该平台很快完成了修复。记者在乌云查询与weblogic相关的漏洞,有大量公司纷纷中枪。
高朋表示,通用组件漏洞修复要对系统升级,可能会使系统短暂中断。由于支付稳定性比安全性更重要,有开发者往往选择加一道防火墙,但并不是根本的解决办法。
“官方已发布安全更新的漏洞,修复起来相对简单。此类中间件使用普遍,最重要的是,运维应该了解网站的中间件,随时关注,及时修补。”他说。
漏洞频发的根本原因:安全意识薄弱
另一个支付平台的漏洞则暴露了平台在设计网站时,存在的逻辑漏洞。
去年3月,乌云曝光了某平台“大量合作商家订单信息可被泄露”的高危漏洞。该平台相关合作商家的订单信息可被遍历,存在泄露风险。
高朋介绍,攻击者可先进行充值,在银行跳往支付过程中截取信息,修改网址中的订单号,就可进入任意商家订单页面。
漏洞原因是订单编号设计过于简单,任何人可通过穷举方式查看他人的订单页面。
该平台随后对漏洞确认,并评级为低。该公司向记者解释,“漏洞提交后,经过我们实际验证,该漏洞只涉及少量会产生订单号的商户,且漏洞所反映的实际存在问题是订单号为累加的;由于支付环节不涉及商户账户密码,故也不涉及‘自动登录到合作商家的用户账号’中的危害。”
至于漏洞的修复情况,对方表示当天已修复,“将订单号随机化,而非简单累加,并定期删除与需要的订单号码;同时联系商户告知并帮助商户进行修复。”
除了上述两种最常见的漏洞以外,也有信息保存不善导致的漏洞。
如员工在公司使用的密码与其他一致,或较常见,黑客通过“撞库”(收集已泄露的用户名密码,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可登录的账号密码)登录,进而控制服务器。
一个业内著名的案例是,某员工将公司网站代码储存到某第三方平台,被发现后大面积曝光,导致公司存在严重的信息泄露风险。
谷安天下高级咨询顾问边美娜表示,有人提出基于银行的三道防线,即业务部门、风险管理、审计部门。她认为支付平台应增加第四道防线,即安全部门。
由于国内安全领域没有出现非常严重的漏洞事件,很多公司对安全并不重视,不是每个公司都有安全团队。安全意识的薄弱,是支付平台漏洞频发的根本原因之一。
在首批支付牌照即将到期之时,央行将系统安全作为评价标准之一。在下一批牌照下发之前,或许给各支付公司敲响了警钟,支付安全也必须成为各平台关注的下一个修复重点。
以上即是关于支付平台安全值为什么是最低的?支付漏洞频发的根本原因是什么等问题小编就给大家介绍到这里了,要是有最新消息小编会在第一时间和大家分享的。希望这些对大家有所帮助。