2014互联网产品安全报告

http://www.itjxue.com  2015-05-14 09:48  来源:IT教学网  点击次数: 

        2015年04月30日,绿盟科技发布2014年互联网金融安全报告。报告收集了在2014年互联网金融行业中的134份安全漏洞,对互联网金融常见的安全漏洞进行了统计及深入分析,并从业务设计角度给出了防护方案,包括越权漏洞代码防护、任意用户密码修改、恶意注册代码防护、恶意短信代码防护等。报告对于互联网金融组织及从业人员具有参考价值。以下是报告全文。
        互联网金融安全状况堪忧。据不完全统计,截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空等。目前很多P2P平台整体安全技术水平跟其业务的风险性不相匹配,缺乏专业、核心的防范黑客攻击技术,给了黑客乘虚而入的机会,如何提升平台安全能力成为亟待解决的问题。中国人民银行原副行长、著名经济学家吴晓灵表示:“根据世界反黑客组织的最新通报,中国P2P已经成为全世界黑客宰割的羔羊” 。
        互联网金融异军突起。2015年3月5日,十二届全国人大三次会议盛大召开。李克强总理在《政府工作报告》中多次提到互联网金融,明确指出“互联网金融异军突起 ”,并提出要“促进互联网金融健康发展”。 民建中央向全国政协提交的关于进一步规范与发展我国互联网金融的提案,列出互联网金融行业存在的六大突出问题,其中安全性是其中一个重要方面。
        近几年互联网金融行业新上线的系统非常多,绿盟科技NSTRT安全团队收集了在2014年互联网金融行业中的134份安全漏洞报告,并对漏洞类型和数量做了统计,报告中的主要观点如下:
观点1:互联网金融安全敲诈事件攀升,利益驱动明显。
观点2:安全漏洞呈现部分集中化,个别漏洞非常普遍。
观点3:互联网金融行业入行门槛过低,安全开发重视不足。
观点4:开发安全管理落后导致漏洞修复成本过高。
安全风险分析
 
安全漏洞
按照漏洞类型的分类和数量统计,我们得出了最常见的12种漏洞类型,漏洞类型按照数量和风险值进行叠加后排序,得出如下漏洞数据分布:

安全漏洞分析
从上面的图表中可以看到,在漏洞统计结果中,除了常见的一些如注入、跨站、CSRF、恶意上传等Web漏洞外,部分金融平台在业务功能设计上存在着严重的风险,如任意用户密码重置、交易参数恶意篡改等,与常见的注入、恶意上传不同,这些业务逻辑的漏洞不会直接影响服务器的安全,但却会直接影响用户的资金、账号的安全,其风险程度有过之而无不及,若被黑客所利用或被曝光,将严重影响业务数据安全和平台公信力。下面报告就常见的几种情况做简要分析解读:
 
业务设计缺陷造成的风险最高
所谓业务设计缺陷造成的风险,是为区别于那些通用的常规安全漏洞。常规漏洞包括SQL注入、XSS跨站脚本漏洞、系统命令执行漏洞、溢出漏洞等。业务设计缺陷造成的漏洞一般与系统业务挂钩,在漏洞的利用代码上无明显的攻击特征,也就难以用通用的Web应用防护设备(例如WAF)来进行防护。在所有漏洞类型中,因业务设计缺陷造成的安全风险占的比重高达27%。常规的安全漏洞大多数能够用Web应用防火墙等防护设施去进行防护,但是因业务设计缺陷造成的风险非常难以进行通用而全面的安全防护。因此对业务设计缺陷造成的安全风险防范和检测尤为重要。
 
业务设计缺陷分类统计
NSTRT安全团队根据统计的类型和数量,列出了在互联网金融行业中比较常见的业务设计缺陷,并做了专门的典型案例介绍。值得一提的是,由于各个系统的业务有所差别,加上业务本身的复杂性,业务设计缺陷造成的漏洞可能是其它地方没有遇到过的,这些非常少见的漏洞也难以进行分类。最常见的一些业务设计缺陷分类统计如下表格:

平行越权是常见的业务设计缺陷
平行越权问题是指相同权限等级的不同用户之间可以越权获取或操作他人的数据。根据漏洞数量的统计结果,在所有业务设计造成的缺陷中,平行越权问题几乎占到了一半。平行越权问题主要包括平行越权查询、平行越权下载、平行越权修改这三种。
以越权查询为例,在很多的场景下,开发人员在设计用户查看本人信息的功能时,服务端会检查用户是否为登录状态,进而判断用户是否具有查看信息的权限。在这样的设计下,开发人员只考虑了用户是否具有查询权限或是否为登录状态,但没有考虑用户查询的具体内容是否与用户的权限匹配,由此造成了用户可能查询到其它人员的信息。
平行越权问题虽然原理上并不复杂,但是金融行业中非常常见。此类风险如此常见,安全开发意识不足是一个原因,另一方面原因是这种业务逻辑问题无法使用Web应用防火墙等设备来进行防护。要解决这类安全风险,还要从业务安全设计和安全编码两个方面抓起。
 
XSS是最常见的安全漏洞
在每年的OWASP TOP 10中,跨站脚本漏洞(即XSS)多年来一直名列前茅。在互联网金融行业中也不例外,在各种常规漏洞中,XSS是出现频率最多的漏洞类型,占到了13%。其中主要包括反射型XSS和存储型XSS。
跨站脚本漏洞可能会导致网页挂马、用户权限被盗用、钓鱼攻击等多种安全风险。
值得一提的是,CSRF(跨站点请求伪造漏洞)也比较常见,在所有漏洞数量中占了6%。在真实的攻击中,CSRF往往会结合XSS来一起利用,进而形成巨大的威力。在很多情况下,利用一个存储型XSS加上一个CSRF漏洞,能够在短时间内对大量用户进行攻击,攻击效果非常明显。

(责任编辑:IT教学网)

更多