另一個(gè)支付平臺(tái)的漏洞則暴露了平臺(tái)在設(shè)計(jì)網(wǎng)站時(shí),存在的邏輯漏洞。
今年5月,央行發(fā)布的首批支付牌照即將到期。4月,央行發(fā)布了《非銀行支付機(jī)構(gòu)分類(lèi)評(píng)級(jí)管理辦法》,系統(tǒng)安全被列為基本評(píng)價(jià)指標(biāo),占比15%,排在客戶(hù)備付金管理、合規(guī)風(fēng)險(xiǎn)防控后,為第三大考量因素。
不久前,國(guó)內(nèi)第三方安全平臺(tái)“安全牛”監(jiān)測(cè)顯示,幾大互聯(lián)網(wǎng)金融領(lǐng)域中,第三方支付的安全值最低。
“烏云漏洞”平臺(tái)安全專(zhuān)家高朋告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者,第三方支付平臺(tái)漏洞類(lèi)型普遍,主要表現(xiàn)在中間件漏洞導(dǎo)致風(fēng)險(xiǎn)、網(wǎng)站設(shè)計(jì)邏輯問(wèn)題及詐騙。
“白帽子”的黑客通道搜索
第三方支付平臺(tái)用于開(kāi)發(fā)網(wǎng)站常見(jiàn)的通用組件有Struts 2(開(kāi)源框架第二代)、Weblogic(用于開(kāi)發(fā)、集成、部署、管理大型分布式Web、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)應(yīng)用的Java應(yīng)用服務(wù)器)、JBoss(J2EE的開(kāi)放源代碼的應(yīng)用服務(wù)器)。
中間件的漏洞爆發(fā)會(huì)導(dǎo)致大批平臺(tái)中槍?zhuān)诘谌街Ц镀脚_(tái)的安全隱患中,此類(lèi)事件非常多見(jiàn)。
今年1月,烏云平臺(tái)曝光了某知名支付平臺(tái)的高危漏洞。由于Weblogic反序列化,導(dǎo)致海量用戶(hù)可被任意登錄、敏感信息泄露,涉及用戶(hù)數(shù)量上億。
高朋介紹,此次Weblogic漏洞爆發(fā)于去年11月。漏洞爆發(fā)前,Weblogic官網(wǎng)發(fā)出公告,根據(jù)漏洞詳情發(fā)布補(bǔ)丁或新系統(tǒng)。如果運(yùn)維人員關(guān)注到更新并分析、修補(bǔ),上述風(fēng)險(xiǎn)便不會(huì)發(fā)生。
但在漏洞爆發(fā)了數(shù)月后,該平臺(tái)依然被白帽子查出,被利用進(jìn)入核心數(shù)據(jù)庫(kù)。
烏云安全專(zhuān)家王彪告訴記者,黑客利用Weblogic漏洞進(jìn)入數(shù)據(jù)庫(kù)比以往容易很多。攻擊者通過(guò)帶有攻擊代碼的請(qǐng)求控制問(wèn)題服務(wù)器,連接數(shù)據(jù)庫(kù),相當(dāng)于控制服務(wù)器權(quán)限。
控制了服務(wù)器權(quán)限后,不難找到數(shù)據(jù)庫(kù)并進(jìn)入。 白帽子的“漏洞報(bào)告”顯示,該平臺(tái)核心數(shù)據(jù)上億條,涉及用戶(hù)手機(jī)、身份證、驗(yàn)證碼等。
甚至,還可看到后臺(tái)賬戶(hù)中的余額,并在服務(wù)器上修改任意用戶(hù)密碼、登錄,便可進(jìn)行充值、提現(xiàn)等。如果漏洞被黑客利用,將影響平臺(tái)信譽(yù),造成不可估量的財(cái)物損失。
“查看”過(guò)程是需要時(shí)間的,如果后臺(tái)有人及時(shí)發(fā)現(xiàn)并干預(yù),黑客就無(wú)法操作。但該白帽子在操作過(guò)程中,并未受到任何干預(yù)。
這直接暴露了平臺(tái)安全意識(shí)的薄弱。“安全意識(shí)強(qiáng)的團(tuán)隊(duì),這種漏洞應(yīng)該早打好補(bǔ)丁。對(duì)于團(tuán)隊(duì)而言,提前打補(bǔ)丁比事后修復(fù)更省心。”王彪表示。
不過(guò),烏云公開(kāi)漏洞后,該平臺(tái)很快完成了修復(fù)。記者在烏云查詢(xún)與weblogic相關(guān)的漏洞,有大量公司紛紛中槍。
高朋表示,通用組件漏洞修復(fù)要對(duì)系統(tǒng)升級(jí),可能會(huì)使系統(tǒng)短暫中斷。由于支付穩(wěn)定性比安全性更重要,有開(kāi)發(fā)者往往選擇加一道防火墻,但并不是根本的解決辦法。
“官方已發(fā)布安全更新的漏洞,修復(fù)起來(lái)相對(duì)簡(jiǎn)單。此類(lèi)中間件使用普遍,最重要的是,運(yùn)維應(yīng)該了解網(wǎng)站的中間件,隨時(shí)關(guān)注,及時(shí)修補(bǔ)。”他說(shuō)。
邏輯錯(cuò)誤引發(fā)的漏洞
另一個(gè)支付平臺(tái)的漏洞則暴露了平臺(tái)在設(shè)計(jì)網(wǎng)站時(shí),存在的邏輯漏洞。
去年3月,烏云曝光了某平臺(tái)“大量合作商家訂單信息可被泄露”的高危漏洞。該平臺(tái)相關(guān)合作商家的訂單信息可被遍歷,存在泄露風(fēng)險(xiǎn)。
高朋介紹,攻擊者可先進(jìn)行充值,在銀行跳往支付過(guò)程中截取信息,修改網(wǎng)址中的訂單號(hào),就可進(jìn)入任意商家訂單頁(yè)面。
漏洞原因是訂單編號(hào)設(shè)計(jì)過(guò)于簡(jiǎn)單,任何人可通過(guò)窮舉方式查看他人的訂單頁(yè)面。
該平臺(tái)隨后對(duì)漏洞確認(rèn),并評(píng)級(jí)為低。該公司向記者解釋?zhuān)?ldquo;漏洞提交后,經(jīng)過(guò)我們實(shí)際驗(yàn)證,該漏洞只涉及少量會(huì)產(chǎn)生訂單號(hào)的商戶(hù),且漏洞所反映的實(shí)際存在問(wèn)題是訂單號(hào)為累加的;由于支付環(huán)節(jié)不涉及商戶(hù)賬戶(hù)密碼,故也不涉及‘自動(dòng)登錄到合作商家的用戶(hù)賬號(hào)’中的危害。”
至于漏洞的修復(fù)情況,對(duì)方表示當(dāng)天已修復(fù),“將訂單號(hào)隨機(jī)化,而非簡(jiǎn)單累加,并定期刪除與需要的訂單號(hào)碼;同時(shí)聯(lián)系商戶(hù)告知并幫助商戶(hù)進(jìn)行修復(fù)。”
除了上述兩種最常見(jiàn)的漏洞以外,也有信息保存不善導(dǎo)致的漏洞。
如員工在公司使用的密碼與其他一致,或較常見(jiàn),黑客通過(guò)“撞庫(kù)”(收集已泄露的用戶(hù)名密碼,生成對(duì)應(yīng)的“字典表”,到其他網(wǎng)站嘗試批量登錄,得到一批可登錄的賬號(hào)密碼)登錄,進(jìn)而控制服務(wù)器。
一個(gè)業(yè)內(nèi)著名的案例是,某員工將公司網(wǎng)站代碼儲(chǔ)存到某第三方平臺(tái),被發(fā)現(xiàn)后大面積曝光,導(dǎo)致公司存在嚴(yán)重的信息泄露風(fēng)險(xiǎn)。
谷安天下高級(jí)咨詢(xún)顧問(wèn)邊美娜表示,有人提出基于銀行的三道防線(xiàn),即業(yè)務(wù)部門(mén)、風(fēng)險(xiǎn)管理、審計(jì)部門(mén)。她認(rèn)為支付平臺(tái)應(yīng)增加第四道防線(xiàn),即安全部門(mén)。
由于國(guó)內(nèi)安全領(lǐng)域沒(méi)有出現(xiàn)非常嚴(yán)重的漏洞事件,很多公司對(duì)安全并不重視,不是每個(gè)公司都有安全團(tuán)隊(duì)。安全意識(shí)的薄弱,是支付平臺(tái)漏洞頻發(fā)的根本原因之一。
在首批支付牌照即將到期之時(shí),央行將系統(tǒng)安全作為評(píng)價(jià)標(biāo)準(zhǔn)之一。在下一批牌照下發(fā)之前,或許給各支付公司敲響了警鐘,支付安全也必須成為各平臺(tái)關(guān)注的下一個(gè)修復(fù)重點(diǎn)。
京公網(wǎng)安備 11010502049343號(hào)