2014互联网产品安全报告(2)

http://www.itjxue.com  2015-05-14 09:48  来源:IT教学网  点击次数: 

在统计中高风险漏洞中，与手机短信相关的漏洞占比高达13%。在所有安全功能中风险最高。手机短信验证功能是一个系统为了验证用户身份而增加的安全功能，但是这个安全功能本身却带来了一些直接的安全风险。在手机短信验证功能出现的风险类型中，最常见的有手机短信炸弹、手机短信验证流程绕过、手机短信破解、手机短信重复利用这几个问题。

 

用户登录功能也是安全重灾区

在互联网金融系统中，用户登录功能是一项重要的系统安全功能之一，也是账号安全的第一道防线。遗憾的是，这一防线在很多地方都不够强大，导致攻击者往往能够有机会突破这一防线，形成各种各样的攻击。

用户登录功能处常见的安全风险主要包括暴力破解、登录流程绕过、用户信息泄露、批量账号锁定等。

大多数地方的用户登录功能都有各种类型的验证码校验，但是根据统计发现，很大一部分的登录验证码校验存在安全缺陷，导致攻击者可以绕过验证码进而执行暴力破解。

在大量用户信息被泄露的今天，账号的安全非常重要。在之前大量用户数据泄露之后，暴力破解用户账号密码的成功率越来越高。因此，账号和登录的安全值得我们重视。

互联网金融开发安全分析
 

互联网金融安全领域还不成熟

考虑到互联网金融行业的门槛低，效益高的特点，互联网金融行业在近几年呈大幅度的增长态势。在金融行业，银行使用的各种网银系统都已经经过了多年的安全检测，在安全性上已经有了明显的进步。但是互联网金融的各个平台都还比较年轻，很多企业还没有对自己的安全风险有足够的认识。例如：2014年上半年， 国内互联网安全问题反馈平台乌云曝出某p2p平台系统存在严重安全漏洞，称“系统任意上传漏洞涉及涉及金钱交易数千万”，据统计，该漏洞涉及的国内网贷平台不少于15家。

互联网金融的研发团队大多都是新建立的团队，开发规范不够健全，开发人员的经验和安全意识也大多参差不齐。

 

紧急项目增加安全风险

有很多企业在进入互联网金融行业的时候，没有给系统的开发预留足够多的时间，导致出现了大量的快速开发现象。安全分析是一项需要耐心而又细致的工作。快速开发可能会导致开发人员为了进度而放弃安全上的考虑。同时，在进度的压力下，测试人员更多的会考虑系统的可用性，在安全上的测试则难以顾及。

 

互联网金融安全开发保障

我们不仅希望自己更少遇到风险，更希望自己遇到风险之后能够有足够强的能力应对。针对一个企业来说，开发人员应该通过安全培训来具备足够强的安全风险意识和安全开发能力。对于企业的安全管理，应该要具备一套健全的安全开发规范制度和系统上线运营安全流程。在一个互联网金融的项目上线之前，应该做好完善的安全准备，建立各个层面的安全防线，从项目的各个阶段引入安全控制，从源头上来避免安全风险。一个完善的开发项目应该引入SDL（Security Development Lifecycle，安全开发生命周期）流程，从安全风险管理的视角来避免安全风险。

SDL从需求阶段、设计阶段、实施阶段、测试阶段和发布响应阶段来引入安全管理。SDL的各个阶段相关内容可参考下图：