互金专委会：发现7210个互金网站漏洞 中高危超5成

本篇文章1245字，读完约3分钟

1月2日，全国互联网金融安全技术专家委员会(以下简称“专委会”)发布了互联网金融网站脆弱性分析报告。

该委员会表示，一旦互联网金融信息系统运行中发生数据泄露、盗窃、篡改等事件，各方将遭受巨大损失，甚至影响经济和社会稳定。近日，国家互联网金融风险分析技术平台对互联网金融行业网站漏洞进行了抽样分析，形成如下报告:

1.安全漏洞概述

本次监测分析覆盖了北京、深圳、浙江等省的1529个互联网金融平台网站。根据风险等级，高风险评级网站占12.4%，中风险评级网站占52.5%。共发现漏洞7210个，其中高风险漏洞451个，占6.2%，中风险漏洞3395个，占47.1%。下图显示了风险级别的分布。

2.高风险漏洞的分布

高风险安全漏洞具有高度的危害性，这反映了解决安全问题的迫切需要。下图显示了前10个高风险漏洞的分布，其中前三个是跨站点脚本，官方php版本不提供安全补丁和sql注入。

跨站点脚本漏洞每年都在owasp前10名中名列前茅，可用于窃取隐私、网络钓鱼诈骗、窃取密码、传播恶意代码和其他攻击。恶意攻击者将对客户端有害的代码作为网页内容放在服务器上，这样当用户浏览该网页时，这些代码就会被注入到用户的浏览器中执行，用户就会受到攻击。一般来说，通过使用跨站点脚本攻击，攻击者可以窃取会话cookie，从而窃取网站用户的密码等私人数据。

对于sql注入漏洞，攻击者可以在易受攻击的系统上执行任意sql语句，破坏数据库的完整性并暴露敏感信息。根据正在使用的后端数据库，sql注入漏洞会导致不同级别的数据和系统被攻击者访问。您不仅可以操作现有的查询，还可以在任意数据中组合和使用子选择或附加查询。在某些情况下，您可以读取或写入文件，或者在底层操作系统上执行shell命令。

3.安全漏洞的总体分布

一般来说，与高风险漏洞相比，低风险漏洞在实际操作环境中危害较小，但在一定程度上仍能反映系统质量和开发者对安全问题的重视程度。为了全面了解互联网金融行业的安全形势，下图显示了前20个安全漏洞在各个级别的分布情况，包括低风险漏洞。

据统计，点击劫持漏洞约占网络漏洞总数的8.5%，用户在不知情的情况下被伪装的按钮挟持，容易造成财产损失。弱算法等其他漏洞，在一定条件下，密文可以被破解得到明文，正常的网络通信数据可以被截获，数据可以被篡改和嗅探。如果用户登录有漏洞的网站或使用相关软件，用户的信息和提交的数据请求可能会被篡改或泄露。对于以纯文本形式发送用户凭证的漏洞，用户发送的账号、密文或身份验证码都没有加密，可以通过截取正常的网络通信数据并对其进行篡改和嗅探直接获取，导致信息泄露和账户密码被盗。

总体来说，从抽样监测和分析的结果来看，目前互联网金融业的网络安全形势并不十分乐观，存在的风险也很高。一些企业对安全保护的认识和投资不足，没有意识到安全漏洞可能带来的风险。建议各企业强化安全防护意识和水平，建立健全信息安全管理体系，完善安全措施，定期开展网络信息安全风险评估、预警，防范内外部风险。

来源：千龙新闻网