一���、前言
互聯(lián)網(wǎng)金融是這兩年來在金融界的新興名詞�,也是互聯(lián)網(wǎng)行業(yè)一個重要的分支�����,但互聯(lián)網(wǎng)金融不是互聯(lián)網(wǎng)和金融業(yè)的簡單結(jié)合,而是在實現(xiàn)安全��、移動等網(wǎng)絡(luò)技術(shù)水平上�,被用戶熟悉接受后,適應(yīng)新的需求而產(chǎn)生的新模式及新業(yè)務(wù)���,目前除了常見的網(wǎng)上銀行�����、第三方支付,這兩年很多的民間融資貸款平臺也逐步興起�,像P2P網(wǎng)貸、眾籌等����。越直接涉及到金錢的業(yè)務(wù)就越敏感,這是眾所周知的�,平臺的運(yùn)作除了建立在強(qiáng)大的資金鏈之外,平臺自身的公信力也是很關(guān)鍵的����,在陸陸續(xù)續(xù)的一些金融平臺出現(xiàn)過安全問題后,越來越多的此類平臺也逐步意識到安全的重要性�����。
我們曾經(jīng)受邀請檢測過網(wǎng)上一些互聯(lián)網(wǎng)金融交易平臺,在檢測的過程曾發(fā)現(xiàn)部分平臺存在著嚴(yán)重的安全問題����,在本期的技術(shù)專題中我們將針對所發(fā)現(xiàn)過的一些常見的安全問題進(jìn)行總結(jié),同時提出相應(yīng)的解決辦法��,希望對開發(fā)的人員代碼安全能力有所提高���。
二����、安全漏洞剖析
2.1統(tǒng)計
我們對曾測試對約多家金融交易平臺進(jìn)行過一次漏洞統(tǒng)計���,除了常見的一些如注入����、跨站����、CSRF、惡意上傳等Web漏洞外���,部分金融平臺在業(yè)務(wù)功能上存在著嚴(yán)重的風(fēng)險�,如任意用戶密碼重置、交易參數(shù)惡意篡改等�����,與常見的注入���、惡意上傳不同��,這些業(yè)務(wù)邏輯的漏洞不會直接影響服務(wù)器的安全��,但卻會直接影響用戶的資金、賬號的安全���,其風(fēng)險程度有過之而無不及�����,若被黑客所利用或被曝光�,將嚴(yán)重影響平臺公信力�。
我們對常見的漏洞進(jìn)行過統(tǒng)計,發(fā)現(xiàn)其中越權(quán)操作的占比最高��,在我們所測試過的平臺中基本都有發(fā)現(xiàn),包括任意查詢用戶信息�����、任意刪除等行為��;最嚴(yán)重的漏洞出現(xiàn)在賬號安全���,包括重置任意用戶密碼��、驗證碼暴力破解等�。下面我們將以舉例的方式給介紹一些常見的安全問題以及其解決方法�����。
2.2越權(quán)操作
漏洞描述
平行權(quán)限越權(quán)操作其實是一種較為常見的安全漏洞����,在OWASP Top 10中也有所提及,分別為不安全對象引用和功能級別訪問控制缺失���。
小編推薦閱讀
