回复“互联网金融安全”即可下载报告全文。
原创| 漏洞盒子(https://www.vulbox.com/) 摘自| http://www.freebuf.com
作为世界第二大经济体的中国经济,一举一动总是会成为全球瞩目的焦点。2015年中国股市如同乘坐了过山车一般在股民惊悚的叫喊声中度过了不太平的半年。而中国在上半年还是交出了涨幅16.7%的漂亮成绩单,位列CNN盘点的全球热门股票市场第七名。但是,在如此火爆的金融市场面前,安全始终是一个不可回避的话题。现在,是时候让我们一起来回顾一下这半年金融行业互联网安全形势。
金融行业安全总览
互联网上数以万计的金融业安全漏洞,可以较为客观的反映一定时间内各金融细分行业的安全状态与威胁挑战。漏洞盒子安全研究团队对2015年上半年全网1248个漏洞和133个安全事件进行仔细的整理和分析。
通过整体分析2015年上半年全网行业安全漏洞,我们做出以下统计结果和趋势分析:
- 金融行业(保险、银行、证券、互联网金融)漏洞总量较2014年同比增长181.9%
- 银行业中,民营银行安全漏洞明显高于国有,可能原因为在安全方面的投入差距,导致整体安全性结果上的差异
- 互联网金融业高、中危级别的漏洞数量总和占比高达97.2%。这暴露在业务发展尤其迅猛的互联网金融业,产品及应用在安全开发实践方面存在较大欠缺
- 应用系统权限绕过漏洞(如遍历查询和操作他人账户、订单等)成为普遍问题,该类问题与金融业务关联较大,极易造成严重威胁
- APP漏洞总量相比去年同期有明显上升。尤其是银行业,高危漏洞开始出现于网银APP应用,这从侧面反映了手机网银APP上的业务功能越来越强大
- SQL注入依然高发,并没有缓解的趋势
保险业占金融行业中漏洞数比例最高,其次是兴起不久的互联网金融以微弱的劣势屈居第二。但研究发现,截至2015年6月全国范围内有近100家互联网金融平台被爆出存在漏洞。漏洞数量之大,影响之广,实属罕见。
综合占比最大的漏洞类型仍然是“千古难题”SQL注入漏洞,XSS漏洞占比则较2014年同期略有下降。
值得一提的是,逻辑漏洞(包括越权)和权限绕过问题成为数据泄露风险的主要诱因。
在漏洞威胁等级方面,高危漏洞占据63.3%,说明金融行业安全漏洞形势确实不容乐观。
保险业
漏洞盒子团队统计2015年上半年保险行业的互联网漏洞数据,全国约有上百家保险公司存在严重安全问题,中国人保、太平洋保险、中国人寿、合众人寿等诸多知名保险公司赫然在列。
信息泄露以及权限绕过成为保险行业应用系统的最大“通病”,总计超过1000万的用户信息存泄露风险。全网数据显示,约有100家保险企业网站存在安全问题,其中53家股份制企业占据半壁江山,政府事业单位有17家。
权限绕过成为保险行业应用系统的最大“通病”:
- 统计中的过半企业存在越权查看保单信息、修改保单信息等
- 权限绕过可能导致遍历用户数据等严重问题,总计超过1000万的用户信息存泄露风险
- 应用程序逻辑问题占比较高,其中订单操作方面的逻辑漏洞多次出现
- SQL注入漏洞依然大面积存在,暴露产品及应用在安全开发实践方面的欠缺
银行业
银行计算机系统遭攻击或者被黑事件频繁发生。网络系统存在漏洞的银行遍及全国各地,不夸张的说从多个省市的农商银行到五大国有商业银行,甚至央妈——中国人民银行,都纷纷中弹。
漏洞盒子团队发现,目前银行业面临的信息泄露威胁较大,同时应用及系统中逻辑漏洞占比过高,安全问题已经开始出现于App应用上。而银行业中高危级别的漏洞占比最高,占到了68.6%。某银行甚至出现了任意卡号查询余额的严重漏洞。
全网数据显示,目前银行业面临的权限绕过威胁较大,同时应用及系统中逻辑漏洞占比过高:
- 权限绕过情况比较严重
- 应用程序逻辑问题占比较高
- 高危漏洞开始出现于APP应用
- 多个Struts2远程代码执行漏洞的出现,暴露银行业在系统网络安全运维上的短板
- 银行业全部漏洞中,高危级别的漏洞占比高达68.6%
- 股份制商业银行安全漏洞明显高于国有银行,可能原因为在安全方面的投入差距,导致整体安全性结果上的差异
证券业
证券行业中系统信息泄露情况非常严重,潜在泄露的用户数据达数百万以上,包括个人基本信息(姓名、身份证号、手机、年龄、地址、照片、合同)以及视频信息,对用户和企业造成的损失难以统计。
而证券行业的安全漏洞较2014年同比增长达到惊人的326.7%。仅在漏洞盒子平台上就有近50家证券企业存在安全风险,华泰证券、长江证券、国金证券、国联证券等知名证券公司在列。
漏洞不仅仅给造成信息的泄露、用户裸奔,在涉及证券这样的敏感信息时,黑客可能会更利用这些非法获取的信息进行交易或者盗卖。
全网数据显示,证券业中弱口令风险表现的尤为突出:
- 弱口令情况非常严重,占比达到38.9%
- 各类安全问题导致的潜在泄露用户数据达到数百万以上,对企业造成的损失难以统计
- 同行业全部漏洞中,高危级别的漏洞占比高达66.7%
- SQL注入漏洞较多,暴露产品及应用在安全开发实践方面的欠缺 证券行业的安全漏洞较2014年同比增长达到惊人的326.7%,这很可能与2015年上半年火爆的股市有关。
互联网金融
作为后起之秀的互联网金融,其整体平台的安全技术水平跟业务的风险性不相匹配,缺乏专业、核心的防范黑客攻击技术,从而给了黑客乘虚而入的机会。截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空等。而在这些严重威胁的背后,暴露了互联网金融业在高速发展的同时,产品及应用在安全开发实践方面存在的较大欠缺。
近两年风靡一时的P2P金融,比如,金融之家、爱投资、长久贷等均在“上榜”名单之列,而仅发现漏洞的互联网金融企业就有近100家,而这些平台上潜在泄露的用户总量在百万级别以上。
全网数据显示,互联网金融应用系统安全基础较薄弱:
- 全部漏洞中,高、中危级别的漏洞数量总和占比高达97.2%
- 逻辑漏洞占比极高,这种现象的出现,与互联网金融应用业务功能繁多,开发人员安全意识和技术水平参差有极大关联。和常见的SQL注入、恶意上传漏洞不同,逻辑漏洞不会直接影响服务器的安全,但对用户的账号和资金安全有着直接的影响
- SQL注入漏洞存在数量巨大,暴露在业务发展尤其迅猛的互联网金融业,产品及应用在安全开发实践方面存在较大欠缺
总结
国内金融行业面临的信息安全风险是全方位的,除传统互联网风险外,还面临新形势、新技术、新业态的安全风险挑战,正在经历着了来自黑客团体、经济犯罪、地下产业以及敌对国家等安全威胁。
在本报告中,我们看到无论保险、银行、证券或是新兴的互联网金融,2015年上半年,互联网安全漏洞的数量相比去年同期有爆发性增长。
而其中可能导致数据信息泄露、越权操作的安全问题在各大金融应用中都有明显表现。我们发现有些高危漏洞,漏洞发现者或平台方已通过多种渠道向相关单位反馈,但漏洞长时间仍未被修复,这背后透露出企业管理者对安全问题的漠视或漏洞响应方面的疏漏
另一方面,时至今日SQL注入这类“骨灰级漏洞”依然在行业统计数据中占据较大比例且未有下降的趋势,这暴露出金融产品及应用在安全开发实践方面存在较大欠缺。
金融行业的互联网化是大势所趋。但由于支撑互联网金融的云计算、大数据等新技术发展还不完全成熟,安全机制尚不完善;同时,当第三方支付、P2P等互联网金融新业务飞速发展时,企业安全技术、安全意识以及运维管理水平往往难以跟上,因此许多互联网金融企业愿意花费几百万、上千万元投放广告,却不愿在安全方面有任何预算,这一切直接导致大量的P2P网贷、互联网金融产品成为“黑客光临”的重灾区。