2014-关于《2014绿盟科技互联网金融安全》的研究报告

2014 绿盟科技互联网金融安全报告 2014 Internet Finance Security Report 执行摘要 Content 安全风险分析 3 互联网金融安全状况堪忧。据不完全统计，截至 2014 年底，已有近 165 家 P2P 平台由于黑客攻击造成系统瘫痪、数安全漏洞 3 据被恶意篡改、资金被洗劫一空等。目前很多 P2P 平台整体安全漏洞分析 3 安全技术水平跟其业务的风险性不相匹配，缺乏专业、核心业务设计缺陷造成的风险最高 3 的防范黑客攻击技术，给了黑客乘虚而入的机会，如何提升业务设计缺陷分类统计 4 平台安全能力成为亟待解决的问题。中国人民银行原副行长、平行越权是常见的业务设计缺陷 4 著名经济学家吴晓灵表示：“根据世界反黑客组织的最新通 XSS 是最常见的安全漏洞 5 报，中国 P2P 已经成为全世界黑客宰割的羔羊” 。短信验证是最易受攻击的安全功能 5 用户登录功能也是安全重灾区 6 互联网金融异军突起。2015 年 3 月 5 日，十二届全国人大三次会议盛大召开。李克强总理在《政府工作报告》中多互联网金融开发安全分析 6 次提到互联网金融，明确指出“互联网金融异军突起 ”，并提出要“促进互联网金融健康发展”。民建中央向全国政协互联网金融安全领域还不成熟 6 提交的关于进一步规范与发展我国互联网金融的提案，列出紧急项目增加安全风险 6 互联网金融行业存在的六大突出问题，其中安全性是其中一互联网金融安全开发保障 6 个重要方面。互联网金融安全防御 7 近几年互联网金融行业新上线的系统非常多，绿盟科技 NSTRT 安全团队收集了在 2014 年互联网金融行业中的 134 份越权漏洞代码防护 7 任意用户密码修改安全漏洞报告，并对漏洞类型和数量做了统计，报告中的主 7 恶意注册代码防护要观点如下： 8 恶意短信代码防护 8 结束语作者和贡献者 NSTRT Report 关注 NSTRT 关于绿盟科技 8 8 • 观点 1：互联网金融安全敲诈事件攀升，利益驱动明显。 • 观点 2：安全漏洞呈现部分集中化，个别漏洞非常普遍。 • 观点 3：互联网金融行业入行门槛过低，安全开发重视不足。 • 观点 4：开发安全管理落后导致漏洞修复成本过高。 9 如果您需要了解更多信息，请联系： 9 9 NSTRT 团队微博 http://www.weibo.com/u/5384465169 NSTRT 微信号搜索公众号 trt917 安全风险分析安全漏洞按照漏洞类型的分类和数量统计，我们得出了最常见的 12 种漏洞类型，漏洞类型按照数量和风险值进行叠加后排序，得出如下漏洞数据分布：互联网金融安全漏洞统计 NSTRT安全团队收集了在2014年互联网金融行业中134份安全漏洞报告， 27% 来自业务设计缺陷的漏洞占主要比例，达到27% 会话标识未更新弱口令 3% 3% 不安全的数据传输恶意文件上传漏洞 Source：2014 Internet FIN Security Report 服务器组件漏洞跨站点请求伪造 6% 7% 登录功能缺陷注入敏感信息泄露 13% 13% XSS 1% 6% CSRF 其它 1% 5% SQL 5% 10% 手机短信验证缺陷跨站脚本业务设计缺陷 www.nsfocus.com 安全漏洞分析从上面的图表中可以看到，在漏洞统计结果中，除了常见的一些如注入、跨站、CSRF、恶意上传等 Web 漏洞外，部分金融平台在业务功能设计上存在着严重的风险，如任意用户密码重置、交易参数恶意篡改等，与常见的注入、恶意上传不同，这些业务逻辑的漏洞不会直接影响服务器的安全，但却会直接影响用户的资金、账号的安全，其风险程度有过之而无不及，若被黑客所利用或被曝光，将严重影响业务数据安全和平台公信力。下面报告就常见的几种情况做简要分析解读：业务设计缺陷造成的风险最高所谓业务设计缺陷造成的风险，是为区别于那些通用的常规安全漏洞。常规漏洞包括 SQL 注入、XSS 跨站脚本漏洞、系统命令执行漏洞、溢出漏洞等。业务设计缺陷造成的漏洞一般与系统业务挂钩，在漏洞的利用代码上无明显的攻击特征，也就难以用通用的 Web 应用防护设备（例如 WAF）来进行防护。在所有漏洞类型中，因业务设计缺陷造成的安全风险占的比重高达 27%。常规的安全漏洞大多数能够用 Web 应用防火墙等防护设施去进行防护，但是因业务设计缺陷造成的风险非常难以进行通用而全面的安全防护。因此对业务设计缺陷造成的安全风险防范和检测尤为重要。 3 2014 绿盟科技互联网金融安全报告安全风险分析  安全漏洞业务设计缺陷分类统计 NSTRT 安全团队根据统计的类型和数量，列出了在互联网金融行业中比较常见的业务设计缺陷，并做了专门的典型案例介绍。值得一提的是，由于各个系统的业务有所差别，加上业务本身的复杂性，业务设计缺陷造成的漏洞可能是其它地方没有遇到过的，这些非常少见的漏洞也难以进行分类。最常见的一些业务设计缺陷分类统计如下表格：平行越权是常见的业务设计缺陷平行越权问题是指相同权限等级的不同用户之间可以越权获取或操作他人的数据。根据漏洞数量的统计结果，在所有业务设计造成的缺陷中，平行越权问题几乎占到了一半。平行越权问题主要包括平行越权查询、平行越权下载、平行越权修改这三种。以越权查询为例，在很多的场景下，开发人员在设计用户查看本人信息的功能时，服务端会检查用户是否为登录状态，进而判断用户是否具有查看信息的权限。在这样的设计下，开发人员只考虑了用户是否具有查询权限或是否为登录状态，但没有考虑用户查询的具体内容是否与用户的权限匹配，由此造成了用户可能查询到其它人员的信息。平行越权问题虽然原理上并不复杂，但是金融行业中非常常见。此类风险如此常见，安全开发意识不足是一个原因，另一方面原因是这种业务逻辑问题无法使用 Web 应用防火墙等设备来进行防护。要解决这类安全风险，还要从业务安全设计和安全编码两个方面抓起。 4 2014 绿盟科技互联网金融安全报告安全风险分析  安全漏洞分析 XSS 是最常见的安全漏洞在每年的 OWASP TOP 10 中，跨站脚本漏洞（即 XSS）多年来一直名列前茅。在互联网金融行业中也不例外，在各种常规漏洞中，XSS 是出现频率最多的漏洞类型，占到了 13%。其中主要包括反射型 XSS 和存储型 XSS。跨站脚本漏洞可能会导致网页挂马、用户权限被盗用、钓鱼攻击等多种安全风险。值得一提的是，CSRF（跨站点请求伪造漏洞）也比较常见，在所有漏洞数量中占了 6%。在真实的攻击中，CSRF 往往会结合 XSS 来一起利用，进而形成巨大的威力。在很多情况下，利用一个存储型 XSS 加上一个 CSRF 漏洞，能够在短时间内对大量用户进行攻击，攻击效果非常明显。短信验证是最易受攻击的安全功能在统计中高风险漏洞中，与手机短信相关的漏洞占比高达 13%。在所有安全功能中风险最高。手机短信验证功能是一个系统为了验证用户身份而增加的安全功能，但是这个安全功能本身却带来了一些直接的安全风险。在手机短信验证功能出现的风险类型中，最常见的有手机短信炸弹、手机短信验证流程绕过、手机短信破解、手机短信重复利用这几个问题。 5 2014 绿盟科技互联网金融安全报告安全风险分析  安全漏洞分析用户登录功能也是安全重灾区在互联网金融系统中，用户登录功能是一项重要的系统安全功能之一，也是账号安全的第一道防线。遗憾的是，这一防线在很多地方都不够强大，导致攻击者往往能够有机会突破这一防线，形成各种各样的攻击。用户登录功能处常见的安全风险主要包括暴力破解、登录流程绕过、用户信息泄露、批量账号锁定等。大多数地方的用户登录功能都有各种类型的验证码校验，但是根据统计发现，很大一部分的登录验证码校验存在安全缺陷，导致攻击者可以绕过验证码进而执行暴力破解。在大量用户信息被泄露的今天，账号的安全非常重要。在之前大量用户数据泄露之后，暴力破解用户账号密码的成功率越来越高。因此，账号和登录的安全值得我们重视。互联网金融开发安全分析互联网金融安全领域还不成熟考虑到互联网金融行业的门槛低，效益高的特点，互联网金融行业在近几年呈大幅度的增长态势。在金融行业，银行使用的各种网银系统都已经经过了多年的安全检测，在安全性上已经有了明显的进步。但是互联网金融的各个平台都还比较年轻，很多企业还没有对自己的安全风险有足够的认识。例如：2014 年上半年，国内互联网安全问题反馈平台乌云曝出某 p2p 平台系统存在严重安全漏洞，称“系统任意上传漏洞涉及涉及金钱交易数千万”，据统计，该漏洞涉及的国内网贷平台不少于 15 家。互联网金融的研发团队大多都是新建立的团队，开发规范不够健全，开发人员的经验和安全意识也大多参差不齐。紧急项目增加安全风险有很多企业在进入互联网金融行业的时候，没有给系统的开发预留足够多的时间，导致出现了大量的快速开发现象。安全分析是一项需要耐心而又细致的工作。快速开发可能会导致开发人员为了进度而放弃安全上的考虑。同时，在进度的压力下，测试人员更多的会考虑系统的可用性，在安全上的测试则难以顾及。互联网金融安全开发保障我们不仅希望自己更少遇到风险，更希望自己遇到风险之后能够有足够强的能力应对。针对一个企业来说，开发人员应该通过安全培训来具备足够强的安全风险意识和安全开发能力。对于企业的安全管理，应该要具备一套健全的安全开发规范制度和系统上线运营安全流程。在一个互联网金融的项目上线之前，应该做好完善的安全准备，建立各个层面的安全防线，从项目的各个阶段引入安全控制，从源头上来避免安全风险。一个完善的开发项目应该引入 SDL（Security Development Lifecycle，安全开发生命周期）流程，从安全风险管理的视角来避免安全风险。 6 2014 绿盟科技互联网金融安全报告互联网金融开发安全分析  安全漏洞分析 SDL 从需求阶段、设计阶段、实施阶段、测试阶段和发布响应阶段来引入安全管理。SDL 的各个阶段相关内容可参考下图：互联网金融安全防御在各种类型的安全漏洞中，大多数常规的安全漏洞（例如 XSS、SQL 注入等）能够使用 Web 应用防