互联网金融

1月2日,国家互联网金融安全技术专家委员会(下称互金专委会)发布互联网金融网站漏洞分析报告。专委会表示,本次监测分析覆盖北京、深圳、浙江等省市共1529家互联网金融平台网站。按照风险的强弱等级进行统计,其中高危评级网站占比12.4%,中危评级网站占比52.5%。共发现漏洞7210个,其中高危漏洞451个,占比6.2%,中危漏洞3395个,占比47.1%。

其中,高危级别的安全漏洞危害程度高,反映了迫切需要解决的安全问题。《报告》展示了出现最多的10种高危漏洞的分布情况,排名前三的分别是跨站脚本、PHP版本官方不提供安全补丁和SQL(结构化查询语言)注入。

据了解,跨站脚本漏洞在每年的OWASP (开放式Web应用程序安全项目)TOP10中一直名列前茅,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容,使得用户在浏览此网页时,这些代码注入到用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃取会话COOKIE从而窃取网站用户的密码等隐私数据。

而对于SQL注入漏洞,专委会表示,攻击者可在易受攻击的系统上执行任意SQL语句,损害数据库的完整性和暴露敏感信息。根据使用中的后端数据库,SQL注入漏洞导致攻击者不同级别的数据和系统访问。不仅可以操作现有查询,还可以在任意数据中联合,使用子选择或附加查询。在某些情况下,可以读取或写入文件,或者在底层操作系统上执行shell命令。

另外,根据统计,点击劫持漏洞占整个web漏洞数量约8.5%,用户在不知情的情况下被伪装的按钮挟持,极易诱发财产流失。用户凭证明文发送漏洞,用户传输的账号、密文或者身份验证码未加密传输,通过拦截正常的网络通信数据,并进行数据篡改和嗅探,可直接获取,导致信息泄漏和账号密码被盗。

互联网金融是金融与互联网技术相融合的领域,信息流的安全性是互联网金融发展的基础和保障。《报告》指出,互联网金融信息系统在运行过程中一旦发生数据泄露、盗取、篡改等事件,会使各方蒙受巨大损失,甚至影响经济和社会稳定。

专委会表示,从抽样监测分析的结果来看,目前互联网金融行业的网络安全情况不甚乐观,存在的风险较高,部分企业的安全防护意识和投入不足,对安全漏洞可能带来的风险认识不到位。建议各企业切实加强安全防护意识和防护水平,建立健全信息安全管理体系,完善安全保障措施,定期开展网络信息安全风险评估,预警和防范内外部风险。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2018-01-04 10:29:19
云安全 微软等回应英特尔芯片漏洞:已发安全更新防止被利用
针对英特尔公司的芯片漏洞问题,微软公司在周三表示,已发布Windows更新防止这一芯片层面的安全漏洞被利用,并且正在为云服务开发更新。 <详情>
2018-01-03 14:56:11
市场情报 美创科技再次入选《中国网络安全企业50强》安全指数一路飙升
日前,企业级信息安全市场专业新媒体“安全牛”发布《中国网络安全企业50强》(2017年下半年),美创科技作为国内领先的数据安全厂商,再次强势入围榜单。 <详情>
2018-01-03 11:12:00
云安全 《中国网络安全企业50强》(2017年下半年)
根据本次调查报告的统计,入围50强的企业2017年上半年安全年收入总额为102.7亿元,相比2016年同期增长23%。结合企业自身预估的2017年全年收入,预计国内企业安全市场2017年 <详情>
2018-01-03 10:21:41
云安全 云安全:再见 2017,你好 2018!
随着越来越多的公司企业面临云迁移挑战,安全与合规,将成2018热门话题。2018年,几项重要新规将推动云安全迈向更高台阶,更好地保护消费者和终端用户,比如5月份就将完全 <详情>
2018-01-03 10:07:19
云安全 细数2017全球最惊心动魄的网络安全事件
2017年,对于全球互联网用户来说无疑是惊心动魄的一年。在这一年里,伴随永恒之蓝出现的勒索病毒席卷全球、美国中情局绝密文件被泄露、乌克兰遭黑客围攻……尤其是Wannacry <详情>