2014互聯網金融安全漏洞分(fēn)析報告

發布日期:2015-08-11首頁 > 安全資(zī)訊

背景

    2015年3月5日,十二屆全國人大(dà)三次會議盛大(dà)召開(kāi)。李克強總理在《政府工(gōng)作報告》中(zhōng)多次提到互聯網金融,明确指出“互聯網金融異軍突起”,并提出要“促進互聯網金融健康發展”。

    中(zhōng)國人民銀行原副行長、著名經濟學家吳曉靈表示:

    “根據世界反黑客組織的最新通報,中(zhōng)國P2P已經成爲全世界黑客宰割的羔羊”。

     據不完全統計,截至2014年底,已有近165家P2P平台由于黑客攻擊造成系統癱瘓、數據被惡意篡改、資(zī)金被洗劫一(yī)空等。目前很多P2P平台整體(tǐ)安全技術水平跟其業務的風險性不相匹配,缺乏專業、核心的防範黑客攻擊技術,給了黑客乘虛而入的機會,如何提升平台安全能力成爲亟待解決的問題。

2014互聯網金融安全漏洞分(fēn)析報告
    NSTRT團隊收集了在2014年互聯網金融行業中(zhōng)大(dà)量的安全漏洞報告,并對漏洞類型和數量做了統計和分(fēn)析。

按照漏洞類型的分(fēn)類和數量統計,我(wǒ)們得出了最常見的12種漏洞類型,漏洞類型按照數量和風險值進行疊加後排序,得出如下(xià)統計結果:

1.jpg

報告同時對業務設計缺陷造成的安全漏洞進行了統計分(fēn)析,得出如下(xià)的結果:

2.jpg

 

關鍵發現
1、業報告得出如下(xià)關鍵發現:
務設計缺陷造成的安全風險高達27%
2、注入和跨站腳本依然是常見的安全漏洞
3、XSS和CSRF漏洞結合大(dà)大(dà)增加安全風險
4、手機短信驗證功能成爲風險最高的安全功能
5、用戶登錄功能是安全重災區
6、平行越權漏洞是最常見的業務邏輯問題
    從近一(yī)年來相關的安全事件可以看出,互聯網金融行業已經成了黑客攻擊的重點目标,其攻擊目的和攻擊方式的利益驅動力非常明顯。從安全漏洞分(fēn)析的結果,我(wǒ)們也看出互聯網金融行業的安全防護還有很多需要完善。希望報告中(zhōng)的内容和觀點,能夠對此行業的相關人員(yuán)起到很好的借鑒作用。