今年5月,中国央行发放的第一批支付许可证即将到期。今年4月,中央银行发布了“非银行支付机构分级评级管理办法”.系统安全性被列为基本的评价指标,占15%,排在客户储备管理和合规风险防范控制之后的第三位。不久前,国内第三方安全平台“安全牛市”监测显示,在几大互联网金融行业中,第三方支付的安全价值最低。
“乌云漏洞”平台安全专家高朋告诉21世纪经济报道记者,第三方支付平台漏洞类型普遍,主要表现在中间件漏洞导致风险、网站设计逻辑问题及诈骗。
黑客频道搜索“白帽”
第三方支付平台用于开发网站常见的通用组件有Struts 2(开源框架第二代)、Weblogic(用于开发、集成、部署、管理大型分布式Web、网络、数据库应用的Java应用服务器)、JBoss(J2EE的开放源代码的应用服务器)。
中间件的漏洞爆发会导致大批平台中枪,在第三方支付平台的安全隐患中,此类事件非常多见。
今年1月,黑云平台暴露了一个知名支付平台的高风险漏洞。由于WebLogic反序列化,大量用户可以随意登录,敏感信息泄露,涉及数亿用户。
高鹏说,WebLogic的漏洞是去年11月出现的。在漏洞爆发之前,WebLogic网站发布了一份通知,根据漏洞发布的详细信息,发布了补丁或新系统。如果操作维护人员注意更新、分析、维修,上述风险不会发生。
但在漏洞爆发了数月后,该平台依然被白帽子查出,被利用进入核心数据库。
乌云安全专家王彪告诉记者,黑客利用Weblogic漏洞进入数据库比以往容易很多。攻击者通过带有攻击代码的请求控制问题服务器,连接数据库,相当于控制服务器权限。
在控制服务器权限之后,不难找到并输入数据库。White Hat的漏洞报告显示,该平台拥有数亿个核心数据,涉及用户的移动电话、身份证、验证代码等。
甚至,还可看到后台账户中的余额,并在服务器上修改任意用户密码、登录,便可进行充值、提现等。如果漏洞被黑客利用,将影响平台信誉,造成不可估量的财物损失。
“查看”过程是需要时间的,如果后台有人及时发现并干预,黑客就无法操作。但该白帽子在操作过程中,并未受到任何干预。
这直接暴露了平台安全意识的薄弱。“安全意识强的团队,这种漏洞应该早打好补丁。对于团队而言,提前打补丁比事后修复更省心。”王彪表示。
不过,乌云公开漏洞后,该平台很快完成了修复。记者在乌云查询与weblogic相关的漏洞,有大量公司纷纷中枪。
高朋表示,通用元器件的漏洞修复升级系统,可能会造成系统短时间的中断。由于支付稳定性比安全性更重要,一些开发人员倾向于选择添加防火墙,而不是基本的解决方案。
“官方已发布安全更新的漏洞,修复起来相对简单。此类中间件使用普遍,最重要的是,运维应该了解网站的中间件,随时关注,及时修补。”他说。
逻辑错误引发的漏洞
另一个支付平台的漏洞则暴露了平台在设计网站时,存在的逻辑漏洞。
去年3月,乌云曝光了某平台“大量合作商家订单信息可被泄露”的高危漏洞。该平台相关合作商家的订单信息可被遍历,存在泄露风险。
高朋表示,攻击者可以先充电,在银行跳转付款过程中截获信息,修改URL中的订单编号,然后输入任何商家的订单页面。
漏洞原因是订单编号设计过于简单,任何人可通过穷举方式查看他人的订单页面。
该平台随后确认了该漏洞,并将其评级为低。该公司向记者解释说:“漏洞提交后,经过我们的实际核实,漏洞只涉及少数会产生订单号码的商家,而漏洞所反映的实际问题是订单号的累积;由于付款环节不涉及商家账户密码,因此不涉及”自动登录合作商户用户账户的危害“。“
至于漏洞的修复情况,对方表示当天已修复,“将订单号随机化,而非简单累加,并定期删除与需要的订单号码;同时联系商户告知并帮助商户进行修复。”
除了上述两种最常见的漏洞以外,也有信息保存不善导致的漏洞。
如果公司员工使用的密码与其他或更常见的密码一致,黑客可以通过“冲突库”登录(收集泄露的用户名和密码,生成相应的“字典表”,尝试批量登录到其他网站,并获得一批登录帐户密码)来控制服务器。
该行业的一个著名案例是,一名员工将公司的网站代码存储在第三方平台上,并在发现后暴露在很大范围内,从而造成信息披露的严重风险。
顾安的高级顾问边美娜(Bian Meina)表示,该银行有三条防线,即业务、风险管理和审计。她认为,支付平台应该增加第四条防线,即安全部门。
由于国内安全领域不存在非常严重的漏洞,许多公司不重视安全,并不是每一家公司都有一支安全团队。安全意识薄弱是造成支付平台漏洞频繁的根本原因之一。
当第一批支付许可证即将到期时,央行将系统安全作为标准之一。在发放下一批牌照之前,这可能是支付公司的警钟,而支付安全也必须成为平台关注的下一个焦点。
易于申请贷款,请关注微信公众号:荣360住房贷款(fangdai123)。