公司动态 激增的互联网漏洞,你知道多少?
激增的互联网漏洞,你知道多少?
2017-12-06
684

近日,相关媒体报道称:包商银行网站系统存在漏洞,可被利用查看部分银行转账记录。

结合此前:多家互联网金融机构被爆出存在安全隐患,其中包括国联证券、中国人保等,而漏洞主要是注入漏洞、跨站脚本攻击、金融APP安全问题等,并且这些漏洞不少已被金融机构厂商确认存在信息泄露风险等情况。

互联网安全问题再次进入人们的视线。

互联网漏洞

漏洞多发领域

对于互联网漏洞,国内最大的漏洞报告平台“乌云”的负责人曾说:“互联网安全问题在保险业、银行业、证券业普遍存在。”

但是,互联网漏洞却远远不止这些互联网领域。

他还存在于互联网电商行业、互联网注册网站等等许多地方。

互联网金融

随着互联网的诞生,银行家们开始发展网上银行等相关业务,由于它的便捷性和易操作性受到很多用户的喜欢。但是,在这些便利性的后面却隐藏着巨大的安全隐患。

金融行业牵扯到人民生活的方方面面,每年从CDP数据,我们就可以看出在这个行业所涉及到的金钱大概有多少。也因为如此,所以在这样的一个特殊的行业里,总是会有这样或那样的安全漏洞问题出现。

据报道,漏洞盒子安全研究团队对今年上半年全网1248个漏洞和133个安全事件分门别类的整理后发现:金融行业(保险、银行、证券、互联网金融)漏洞总量较2014年增长181.9%。数量几乎涉及到全国近100家互联网金融平台。

保险业占金融行业中漏洞数比例最高,达到27.1%;

互联网金融占金融行业的26.1%,位居第二;

银行漏洞数量占23.3%;

证券行业占15.2%;

其他占8.3%。

互联网金融银行、证券行业等互联网安全漏洞的产生跟近些年来开户人数的增多,资金交流的频繁、各方面监管不严都有密切的关系。

在互联网金融方面,目前主要有以下几种类型的漏洞状况:

(1)权限越权操作

主要是由于不安全对象引用和功能级别访问控制缺失所导致,比如说“越级上报”,最近新出的一个安全漏洞即华安保险网上理赔系统后台JBoss无验证导致上传webhshell,远程脚本执行敏感信息泄露,就属于这种越权操作的行为,当然此行为有时会是黑客所为,有时却是金融系统管理不善导致。

(2)用户密码重置

网上办理业务时密码被盗取,银行里的钱不翼而飞,这种情况通常与密保电话、密保邮箱等密码被盗取有关。许多的金融业务的平台都存在“动态密码”,即用户输入手机或是邮箱时,因为某些系统的保密性不足,手机号码和相关用户名等信息被窃取和重置,给用户带来损失。

其实我们时时刻刻都在在经历类似的操作,比如唯品会、天猫、京东等等电商平台上的那些支付程序和密码重置程序,也有着类似的信息安全问题。

(3)信息泄露

信息泄露是互联网安全漏洞频发的主要原因。在一些网上银行、互联网保险业务等行业里,经常会要求在网上输入用户的个人相关信息,如果某些信息在审查过程中监管不到位,那么这样的信息泄露事件就非常容易发生。

互联网电商支付

近些年来,随着京东、淘宝、1号店等电商的崛起,每天在网站上消费的人群也越来越多,消费者在网上需要验证支付的人群也就越来越多,用户注册以及金钱交易方面所要涉及的面也就越来越广,信息安全的管理上也经常出现漏洞。

(1)信息保管漏洞

比如说:由于保管不当,许多信息在处理的过程中就会出现一些不同程度上的错误和遗失,从而导致安全问题的出现。

例如,2014年的小米论坛遭“脱裤”事件,约有800万小米社区用户数据泄漏。事件发生后,不少用户反应收到诈骗电话,电话另一端能提供包括姓名、地址、电话、商品购买记录、密码、邮箱、注册IP等用户的准确信息。

(2)恶意盗刷漏洞

这样的事件其实已屡见不鲜,主要是存在于银行业务方面,但是随着第三方支付平台的兴起,恶意盗刷软件也蔓延到了网上支付平台。

比较出名的例子当属上半年的一款名为“心脏出血”的重大安全漏洞,此漏洞以迅雷不及掩耳之势侵入电商支付接口、网络银行等,窃取用户账户信息。据统计,受其影响到的人群达到2亿。

(3)权限越过漏洞

今日在神话黑客联盟的官网上,就出现这一漏洞:阿里云管理后台权限绕过漏洞,不法分子可直接绕过网站权限修改用户的个人信息等等。

互联网其它网站

网站是互联网最重要的组成部分,也是互联网漏洞的重点高发区域,每年基本上都会出现或多或少的网站信息漏洞事件,影响甚广。

而这些漏洞的类型也都是大同小异:

比如:与我们的出行密切相关的12306网站就经常出现高峰时段瘫痪、验证码复杂难以登陆、串号等这样的漏洞事件,严重时会导致大量用户信息遭泄露,影响甚广;

曾经的世纪佳缘在这个方面也曾经出现过数据泄露整站源码事件;

微软这个互联网大佬也在这个方面相当头疼:据悉,截止到今年9月8日:微软发布12个新的安全公告,微软今年的安全漏洞已经有105个,涉及的方面主要有Windows日记本、微软图形组件、IE浏览器和新的Edge浏览器等方面出现的漏洞。

乌云网站“漏洞列表”部分数据

其实纵观这些互联网出现的漏洞,我们会发现漏洞形式五花八门。但总结起来主要有以下几个方面的漏洞类型,也就是我们上面所提到的:

1、权限漏洞

比如,越过权限,冒充用户窃取用户个人信息等等。

2、信息泄露漏洞

网站本身的操作不当或是网站本身就存在这些漏洞也会造成用户信息被泄露的风险。

3、恶意软件攻击漏洞

这类主要是由一些所谓的网络黑客故意攻击而产生的漏洞。比如:SQL注入攻击就是黑客对数据库进行攻击的常用手段。

在这些漏洞的背后,折射出的还是互联网程序开发领域的不足:

无论是金融还是电商亦或是其他的网站上,程序代码之间环环相扣,每一个环节的错误都有可能变成一个漏洞而受到不法分子的入侵。如果再加上工作人员的操作不当或管理不善,那么漏洞的存在就会更加的轻而易举。

而黑客的存在和互联网监管的不力就更加助长了漏洞的嚣张气焰,让漏洞变得更加猖獗。

结语

虽然,中国网络安全问题国家一直非常重视:专门成立以习近平主席为组长的中央网络安全和信息化小组;

央行等部委也发布过诸如《关于促进互联网金融健康发展的指导意见》、《非银行支付机构网络支付业务管理办法》等文件。

但是根据上述乌云网站的最新数据显示这些措施要么收效甚微要么因为政策出台太缓慢影响有限。

随着信息时代的到来,互联网的发展进入到普及化的阶段,网络安全问题时时刻刻都在影响着人们的生产生活,它一日未解决直接关系到整个社会的安定和繁荣。

但我们也知道互联网是开放的场所,也正因为它的开放性让漏洞的解决变得更加艰巨和艰难。