1月2日，國家互聯網金融安全技術專家委員會發布互聯網金融網站漏洞分析報告。報告指出，目前互聯網金融行業的網絡安全情況不甚樂觀，存在的風險較高，部分企業的安全防護意識和投入不足，對安全漏洞可能帶來的風險認識不到位。

　　互聯網金融是金融與互聯網技術相融合的領域，信息流的安全性是互聯網金融發展的基礎和保障。

　　互聯網金融信息系統在運行過程中一旦發生數據泄露、盜取、篡改等事件，會使各方蒙受巨大損失，甚至影響經濟和社會穩定。

　　近期，國家互聯網金融風險分析技術平臺對互聯網金融行業的網站漏洞情況進行了抽樣分析，形成本期報告。

　　1、安全漏洞概覽

　　本次監測分析覆蓋北京、深圳、浙江等省市共1529家互聯網金融平臺網站。按照風險的強弱等級進行統計，其中高危評級網站占比12.4%，中危評級網站占比52.5%。共發現漏洞7210個，其中高危漏洞451個，占比6.2%，中危漏洞3395個，占比47.1%，危險等級分布如下圖所示。

　　2、高危漏洞分布情況

　　高危級別的安全漏洞危害程度高，反映了迫切需要解決的安全問題。下圖展示了出現最多的10種高危漏洞的分布情況，排名前三的是跨站腳本、PHP版本官方不提供安全補丁和SQL注入。

　　跨站腳本漏洞在每年的OWASP TOP10中一直名列前茅，可被用于進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。惡意的攻擊者將對客戶端有危害的代碼放到服務器上作為一個網頁內容， 使得用戶在瀏覽此網頁時，這些代碼注入到用戶的瀏覽器中執行，使用戶受到攻擊。

　　一般而言，利用跨站腳本攻擊，攻擊者可竊取會話COOKIE從而竊取網站用戶的密碼等隱私數據。

　　對于SQL注入漏洞，攻擊者可在易受攻擊的系統上執行任意SQL語句，損害數據庫的完整性和暴露敏感信息。根據使用中的后端數據庫，SQL注入漏洞導致攻擊者不同級別的數據和系統訪問。

　　不僅可以操作現有查詢，還可以在任意數據中聯合，使用子選擇或附加查詢。在某些情況下，可以讀取或寫入文件，或者在底層操作系統上執行shell命令。

　　3、安全漏洞總體分布情況

　　通常來說，與高危漏洞相比，中低危漏洞在實際運行環境中的危害相對較小，但仍能在一定程度上反映出系統質量、開發人員對安全問題的重視程度等。為了更全面的了解互聯網金融行業的安全狀況，下圖展示了包括中低危漏洞在內的所有級別安全漏洞TOP20的分布情況。

　　跨站腳本漏洞在每年的OWASP TOP10中一直名列前茅，可被用于進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。惡意的攻擊者將對客戶端有危害的代碼放到服務器上作為一個網頁內容， 使得用戶在瀏覽此網頁時，這些代碼注入到用戶的瀏覽器中執行，使用戶受到攻擊。

　　一般而言，利用跨站腳本攻擊，攻擊者可竊取會話COOKIE從而竊取網站用戶的密碼等隱私數據。

　　對于SQL注入漏洞，攻擊者可在易受攻擊的系統上執行任意SQL語句，損害數據庫的完整性和暴露敏感信息。根據使用中的后端數據庫，SQL注入漏洞導致攻擊者不同級別的數據和系統訪問。

　　不僅可以操作現有查詢，還可以在任意數據中聯合，使用子選擇或附加查詢。在某些情況下，可以讀取或寫入文件，或者在底層操作系統上執行shell命令。

　　3、安全漏洞總體分布情況

　　通常來說，與高危漏洞相比，中低危漏洞在實際運行環境中的危害相對較小，但仍能在一定程度上反映出系統質量、開發人員對安全問題的重視程度等。為了更全面的了解互聯網金融行業的安全狀況，下圖展示了包括中低危漏洞在內的所有級別安全漏洞TOP20的分布情況?！　〗浗y計，點擊劫持漏洞占整個web漏洞數量約8.5%，用戶在不知情的情況下被偽裝的按鈕挾持，極易誘發財產流失。其它例如弱算法漏洞，一定條件下，密文可以被破解得到明文，通過攔截正常的網絡通信數據，并進行數據篡改和嗅探。
　　如果用戶登錄存在該漏洞網站或使用相關軟件，用戶的信息和提交的數據請求可能被篡改或泄漏。對于用戶憑證明文發送漏洞，用戶傳輸的賬號、密文或者身份驗證碼未加密傳輸，通過攔截正常的網絡通信數據，并進行數據篡改和嗅探，可直接獲取，導致信息泄漏和賬號密碼被盜。

　　4、總結

　　從抽樣監測分析的結果來看，目前互聯網金融行業的網絡安全情況不甚樂觀，存在的風險較高，部分企業的安全防護意識和投入不足，對安全漏洞可能帶來的風險認識不到位。

　　建議各企業切實加強安全防護意識和防護水平，建立健全信息安全管理體系，完善安全保障措施，定期開展網絡信息安全風險評估，預警和防范內外部風險。

責任編輯：Rachel