第三方支付漏洞频发原因盘点分析：需提高安全意识

　　市场普遍认为，随着近几年第三方支付的快速发展，加之第三方支付机构问题的暴露，漏洞安全问题也渐渐的显现出来，具体原因是什么呢？一起看下下文分析吧。

　　国内第三方安全平台监测显示，在几大互联网金融领域中，第三方支付的安全值最低。2016年4月，央行发布了《非银行支付机构分类评级管理办法》，系统安全被列为基本评价指标，占比15%，为第三大考量因素。

　　第三方支付漏洞频发原因盘点分析：安全意识薄弱

　　“乌云漏洞”平台安全专家高朋告诉记者，第三方支付平台漏洞类型普遍，主要表现在中间件漏洞导致风险、网站设计逻辑问题及诈骗。业内人士认为，安全意识的薄弱，是支付平台漏洞频发的根本原因之一。

　　中间件的漏洞爆发导致大批平台中枪

　　第三方支付平台用于开发网站常见的通用组件有Struts2、Weblogic、JBoss.

　　中间件的漏洞爆发会导致大批平台中枪，在第三方支付平台的安全隐患中，此类事件非常多见。

　　今年1月，乌云平台曝光了某知名支付平台的高危漏洞。由于Weblogic反序列化，导致海量用户可被任意登录、敏感信息泄露，涉及用户数量上亿。

　　高朋介绍，此次Weblogic漏洞爆发于去年11月。漏洞爆发前，Weblogic官网发出公告，根据漏洞详情发布补厄新系统。如果运维人员关注到更新并分析、修补，上述风险便不会发生。

　　但在漏洞爆发了数月后，该平台依然被白帽子查出，被利用进入核心数据库。

　　乌云安全专家王彪告诉记者，黑客利用Weblogic漏洞进入数据库比以往容易很多。攻击者通过带有攻击代码的请求控制问题服务器，连接数据库，相当于控制服务器权限。

　　控制了服务器权限后，不难找到数据库并进入。白帽子的“漏洞报告”显示，该平台核心数据上亿条，涉及用户手机、身份证、验证码等。

　　甚至，还可看到后台账户中的余额，并在服务器上修改任意用户密码、登录，便可进行充值、提现等。如果漏洞被黑客利用，将影响平台信誉，造成不可估量的财物损失。

　　“查看”过程是需要时间的，如果后台有人及时发现并干预，黑客就无法操作。但该白帽子在操作过程中，并未受到任何干预。

　　这直接暴露了平台安全意识的薄弱。“安全意识强的团队，这种漏洞应该早打好补叮对于团队而言，提前打补丁比事后修复更省心。”王彪表示。

　　不过，乌云公开漏洞后，该平台很快完成了修复。记者在乌云查询与weblogic相关的漏洞，有大量公司纷纷中枪。

　　高朋表示，通用组件漏洞修复要对系统升级，可能会使系统短暂中断。由于支付稳定性比安全性更重要，有开发者往往选择加一道防火墙，但并不是根本的解决办法。

　　“官方已发布安全更新的漏洞，修复起来相对简单。此类中间件使用普遍，最重要的是，运维应该了解网站的中间件，随时关注，及时修补。”他说。

　　漏洞频发的根本原因：安全意识薄弱

　　另一个支付平台的漏洞则暴露了平台在设计网站时，存在的逻辑漏洞。

　　去年3月，乌云曝光了某平台“大量合作商家订单信息可被泄露”的高危漏洞。该平台相关合作商家的订单信息可被遍历，存在泄露风险。

　　高朋介绍，攻击者可先进行充值，在银行跳往支付过程中截取信息，修改网址中的订单号，就可进入任意商家订单页面。

　　漏洞原因是订单编号设计过于简单，任何人可通过穷举方式查看他人的订单页面。

　　该平台随后对漏洞确认，并评级为低。该公司向记者解释，“漏洞提交后，经过我们实际验证，该漏洞只涉及少量会产生订单号的商户，且漏洞所反映的实际存在问题是订单号为累加的；由于支付环节不涉及商户账户密码，故也不涉及‘自动登录到合作商家的用户账号’中的危害。”

　　至于漏洞的修复情况，对方表示当天已修复，“将订单号随机化，而非简单累加，并定期删除与需要的订单号码；同时联系商户告知并帮助商户进行修复。”

　　除了上述两种最常见的漏洞以外，也有信息保存不善导致的漏洞。

　　如员工在公司使用的密码与其他一致，或较常见，黑客通过“撞库”登录，进而控制服务器。

　　一个业内著名的案例是，某员工将公司网站代码储存到某第三方平台，被发现后大面积曝光，导致公司存在严重的信息泄露风险。

　　谷安天下高级咨询顾问边美娜表示，有人提出基于银行的三道防线，即业务部门、风险管理、审计部门。她认为支付平台应增加第四道防线，即安全部门。

　　由于国内安全领域没有出现非常严重的漏洞事件，很多公司对安全并不重视，不是每个公司都有安全团队。安全意识的薄弱，是支付平台漏洞频发的根本原因之一。

　　在首批支付牌照即将到期之时，央行将系统安全作为评价标准之一。在下一批牌照下发之前，或许给各支付公司敲响了警钟，支付安全也必须成为各平台关注的下一个修复重点。

返回网站首页>>