金融行業(yè)平臺常見安全漏洞與防御
目前除了常見的網(wǎng)上銀行、第三方支付，這兩年很多的民間融資貸款平臺也逐步興起，像P2P網(wǎng)貸、眾籌等。越直接涉及到金錢的業(yè)務就越敏感，這是眾所周知的，平臺的運作除了建立在強大的資金鏈之外，平臺自身的公信力也是很關鍵的，在陸陸續(xù)續(xù)的一些金融平臺出現(xiàn)過安全問題后，越來越多的此類平臺也逐步意識到安全的重要性。
作者：王濤  企業(yè)QQ認證：2880269184  來源：佛山德勝電信機房DDOS防御

一、前言描述

互聯(lián)網(wǎng)金融是這兩年來在金融界的新興名詞，也是互聯(lián)網(wǎng)行業(yè)一個重要的分支，但互聯(lián)網(wǎng)金融不是互聯(lián)網(wǎng)和金融業(yè)的簡單結合，而是在實現(xiàn)安全、移動等網(wǎng)絡技術水平上，被用戶熟悉接受后，適應新的需求而產(chǎn)生的新模式及新業(yè)務，目前除了常見的網(wǎng)上銀行、第三方支付，這兩年很多的民間融資貸款平臺也逐步興起，像P2P網(wǎng)貸、眾籌等。越直接涉及到金錢的業(yè)務就越敏感，這是眾所周知的，平臺的運作除了建立在強大的資金鏈之外，平臺自身的公信力也是很關鍵的，在陸陸續(xù)續(xù)的一些金融平臺出現(xiàn)過安全問題后，越來越多的此類平臺也逐步意識到安全的重要性。

我們曾經(jīng)受邀請檢測過網(wǎng)上一些互聯(lián)網(wǎng)金融交易平臺，在檢測的過程曾發(fā)現(xiàn)部分平臺存在著嚴重的安全問題，在本期的技術專題中我們將針對所發(fā)現(xiàn)過的一些常見的安全問題進行總結，同時提出相應的解決辦法，希望對開發(fā)的人員代碼安全能力有所提高。

二、安全漏洞剖析

2.1統(tǒng)計

我們對曾測試對約多家金融交易平臺進行過一次漏洞統(tǒng)計，除了常見的一些如注入、跨站、CSRF、惡意上傳等Web漏洞外，部分金融平臺在業(yè)務功能上存在著嚴重的風險，如任意用戶密碼重置、交易參數(shù)惡意篡改等，與常見的注入、惡意上傳不同，這些業(yè)務邏輯的漏洞不會直接影響服務器的安全，但卻會直接影響用戶的資金、賬號的安全，其風險程度有過之而無不及，若被黑客所利用或被曝光，將嚴重影響平臺公信力。

我們對常見的漏洞進行過統(tǒng)計，發(fā)現(xiàn)其中越權操作的占比最高，在我們所測試過的平臺中基本都有發(fā)現(xiàn)，包括任意查詢用戶信息、任意刪除等行為;最嚴重的漏洞出現(xiàn)在賬號安全，包括重置任意用戶密碼、驗證碼暴力破解等。下面我們將以舉例的方式給介紹一些常見的安全問題以及其解決方法。

2.2越權操作

漏洞描述

平行權限越權操作其實是一種較為常見的安全漏洞，在OWASP Top 10中也有所提及，分別為不安全對象引用和功能級別訪問控制缺失。

其中不安全對象引用指的是平行權限的訪問控制缺失，比方說，A和B兩個同為一個網(wǎng)站的普通用戶，他們之間的個人資料是相互保密的，A用戶的個人資料可以被B用戶利用程序訪問控制的缺失惡意查看，由于A用戶和B用戶之間是一個同級的賬號，因此稱為平行權限的訪問控制缺失。功能級別訪問控制缺失指的是垂直權限的訪問控制缺失，比方說，A賬號為普通賬號、B賬號為管理員賬號，B賬號的管理頁面時必須是以管理員權限登錄后方可查看，但A賬號可通過直接輸入管理頁面URL的方式繞過管理員登錄限制查看管理頁面，由于A用戶和B用戶的權限是垂直關系，因此稱為垂直權限的訪問控制缺失。該類型屬于業(yè)務設計缺陷的安全問題，因此傳統(tǒng)的掃描器是無法發(fā)現(xiàn)的，只能通過手工的滲透測試去進行檢查。在金融平臺中以平行權限的訪問控制缺失較為常見。

【提醒注意】

代碼防護

針對平行權限的訪問控制缺失，我們建議使用基于用戶或者會話的間接對象引用進行防護，比方說，一個某個選項包含6個授權給當前用戶的資源，它可以使用一串特殊的數(shù)字或者字符串來指示哪個是用戶選擇的值，而不是使用資源的數(shù)據(jù)庫關鍵字來表示，數(shù)字和字符串的生成可以結合賬號信息進行生成，使得攻擊者難以猜測生成的方式。

針對垂直權限的訪問控制缺失，我們建議可以使用缺省拒絕所有的訪問機制，然后對于每個功能的訪問，可以明確授予特定角色的訪問權限，同時用戶在使用該功能時，系統(tǒng)應該對該用戶的權限與訪問控制機制進行校對。

2.3任意重置用戶密碼

漏洞描述

在眾多的交易平臺中，NSTRT發(fā)現(xiàn)任意重置用戶密碼這類型的問題也較為普遍，主要是出現(xiàn)在密碼找回、郵箱驗證等方面，部分漏洞從技術原理來說上來說它與越權操作時相似的，即用戶越權去修改其他用戶的信息，如密保電話、密保郵箱等，由于它敏感性所以我們將它歸納成一類進行探討。

代碼防護

針對案例一中的漏洞，我們建議在第二步修改密碼時服務端再次驗證手機驗證碼，部分平臺所采用的做法是，第一步驗證碼提交成功后，將驗證碼隱藏在一個“hidden”表單中，并在第二步修改密碼中進行提交，服務端再次驗證短信驗證碼，保證準確性，同時對驗證碼的錯誤次數(shù)進行限制，當驗證錯誤超過特定次數(shù)，當前驗證碼無效。

針對案例二中的漏洞，我們同樣建議隨機驗證碼設置錯誤次數(shù)限制，當驗證錯誤超過特定次數(shù)，當前驗證碼即無效。

2.4惡意注冊

漏洞描述

惡意注冊，是指攻擊者利用網(wǎng)站注冊功能的安全漏洞，注冊大量的垃圾賬號，導致系統(tǒng)增多大量無用數(shù)據(jù)。一般網(wǎng)站開發(fā)者為了防止惡意注冊的行為，在注冊頁面均會在加入一些需要人工輸入的步驟，比方說短信驗證碼，郵箱驗證等。但是在對金融平臺測試的過程中，同樣也發(fā)現(xiàn)了部分驗證功能可被繞過。

代碼防護

目前遇到的大部分惡意注冊類的安全漏洞均為驗證碼可被多次使用造成，我們建議后臺對驗證碼的使用進行限制，任何的驗證碼應為一次性，防止驗證碼被多次使用。

2.5惡意短信

漏洞描述

惡意短信是一種類似于DDoS的攻擊方式，他是利用網(wǎng)站的短信相關的功能，對用戶的手機進行長時間的短信轟炸，導致手機癱瘓。除了單純的短信轟炸之外，我們在測試過程中也發(fā)現(xiàn)，部分金融交易平臺對所發(fā)送的短信內(nèi)容也并沒有進行限制，導致可被利用進行短信欺詐。

代碼防護

針對惡意短信類的安全問題，我們建議可以通過以下兩種方式進行防護：

1、從服務端限制每個號碼的發(fā)送頻率和每天的發(fā)送次數(shù)，防止攻擊者利用短信接口進行惡意轟炸。

2、發(fā)送短信的內(nèi)容應直接由系統(tǒng)內(nèi)部進行定義，客戶端可通過數(shù)字或字符的方式，對所需要發(fā)送的內(nèi)容進行選擇，如messagetype=1 為密碼找回，messtype=2為注冊，然后通過數(shù)字來索引要發(fā)送的內(nèi)容。

三、總結

隨著社會的進步，互聯(lián)網(wǎng)金融交易平臺將會越來越流行，平臺涉及用戶信息、資金等敏感信息，因此平臺安全性應更應受到重視，開發(fā)商必須加強開發(fā)人員的代碼安全意識，建立代碼安全開發(fā)規(guī)范，同時結合第三方滲透測試和代碼審計的方式對即將上線的系統(tǒng)僅測試，提高平臺的安全性。

【編輯推薦】

• 安全漏洞披露：三個令人不安的新趨勢

• 總結近年來安全漏洞：老漏洞為黑客提供捷徑

• 尋找安全漏洞?謹慎為之
  

【責任編輯：王濤 TEL：18022235390】