哈喽小伙伴们,这几天尊的是被奥运刷屏的节奏啊有木有,极小验也是被这些奥运健儿们迷得不要不要的,每天都是花痴状的抱着手机,恨不得舔屏的节奏。
不过呢,纵使是这样,咱们做安全的也绝不能够掉以轻心。我们要该舔屏的时候绝不嘴软,该工作的时候也誓要意气风发,横刀立马,慧眼如炬,英明神武,对不对!心系互联网安全的极小验近日看到Freebuf发布的《2016年上半年金融行业应用安全态势报告》不由得心中一紧,怎么关乎咱们财产安全的金融行业问题也这么多。
近几年,随着金融互联网化的快速推进,从传统金融理财到新兴金融理财以及支付类都跟我们的生活息息相关,而这些金融平台也因此承担着巨大的安全责任与压力。通过报告可以看出,上半年的安全态势并不那么乐观。
报告显示,移动金融用户规模达到8.3亿台,在移动互联网整体用户中的渗透率为63.7%。但是移动应用安全却是持续恶化,移动金融中存在的漏洞相比去年同期增长37%。而对于整个金融行业来说,网络安全威胁也是很严重,其中SQL注入,密码重置,信息泄露,撞库登录等均榜上有名。
代码执行,SQL注入,文件上传等漏洞均是由于对于服务器端对于执行函数的过滤不严格,而执行了恶意代码。而密码重置,越权查看修改,弱口令等则是由于系统设计逻辑错误,逻辑不严密等让人钻了空子。撞库以及信息泄露多利用社会工程学,以及一些流传在网络上的字典等来进行有效的攻击。
2016年上半年来,频频爆出多起信息泄露事件,极小验也在《解密数据泄露——老九门》中和大家一起探讨过相关的漏洞以及解决办法,有兴趣可以一读。而这些漏洞严重威胁着金融企业应用的信誉,金融平台将面临更高的要求和挑战。
在业务层面,报告指出,最容易出现安全风险的场景如下:
Number.1 用户注册及登录场景
在用户注册场景,纵使是使用手机认证加上实名身份证认证,也还是会存在大批量的垃圾注册薅羊毛的情况。手机认证的方式可以有很多的作弊方法,一是黑市上有很多专门用于接收短信验证码的手机号贩卖,价格低廉;二是使用虚拟的手机号或盗用短信接口。通过网络黑市购买身份证,银行卡信息等也是相当容易滴。
在登录场景,常常会被黑客利用,进行撞库登录,一旦撞库成功,不仅是个人信息泄露,个人财产也将遭受损失。(什么是撞库参照《浅谈撞库防御策略》)
而上述两个场景是机器程序实现自动化,利用业务漏洞进行大规模攻击的典型场景,要解决这个问题通用的方法是进行准确有效的人机识别,让机器程序无法进行自动化大规模的注册以及登录。
Number.2 密码重置场景
密码重置场景主要是由于系统设计的逻辑缺陷或者是身份验证出现问题。一般的验证方法比如说手机验证码,实在是有很多的被截获案例,这里就不过多赘述。除了身份认证,后台逻辑被绕过,可以直接直接修改密码,这也灰常可怕。
Number.3 业务功能操作场景
业务功能操作场景是指什么呢?比如支付、撤销订单、兑换积分等等。比如在支付环节,黑客可以通过抓包,窜改支付链接中的加密后缀,从而使支付链接到信用卡支付,通过信用卡的支付方式实现套现,兑换积分等薅羊毛的行为。当然还有可能出现的问题是窜改他人个人信息。
随着黑色产业链的逐渐成形,基于业务逻辑层面的大规模攻击越来越多,而这些攻击,不仅会给普通大众带来隐私泄露,财产被盗等损失,同样也将造成金融平台信誉以及公信力的缺失。当然安全问题是一直以来都十分让人头疼的问题,百分之百的安全谁能够做得到呢?但是更加小心谨慎的态度,不犯低级错误,重视安全中的每一个细节却是我们可以做到的。
从上面的几个场景我们可以预见,其实业务安全是环环相扣的,因为信息泄露,造成账户数据贩卖,让黑客可以借助已经泄露的账户数据撞库,进而获得更多的账户数据进行贩卖。也才会有大规模的真实用户信息被用来进行垃圾注册,批量登录薅羊毛。要解决这些问题,一些传统的手段似乎已经行不通了,但是我们似乎也并不能指望有什么方法可以一劳永逸。而且除了机密性,完整性,可用性,我想成本也将是每一个企业都会考虑的重要因素。
极验验证,专注于验证安全领域,创新行为式验证技术,应用于注册,登录等场景,帮助企业解决大规模垃圾注册,薅羊毛,撞库登录等问题,提供目前性价比最高的解决方案。同时极验利用深度学习建立的人工神经网络会不断的学习人机的特征,不断更新验证模型。选择极验保障验证安全,不是一劳永逸,而是一直在进步。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
极验验证
关注网络尖刀微信公众号
