分析：激增的互聯(lián)網(wǎng)漏洞你知道多少

分析：激增的互聯(lián)網(wǎng)漏洞，你知道多少？

結(jié)合此前：多家互聯(lián)網(wǎng)金融機(jī)構(gòu)被爆出存在安全隱患，其中包括國(guó)聯(lián)證券、中國(guó)人保等，而漏洞主要是注入漏洞、跨站腳本攻擊、金融APP安全問(wèn)題等，并且這些漏洞不少已被金融機(jī)構(gòu)廠商確認(rèn)存在信息泄露風(fēng)險(xiǎn)等情況?；ヂ?lián)網(wǎng)安全問(wèn)題再次進(jìn)入人們的視線?；ヂ?lián)網(wǎng)漏洞下面是在烏云網(wǎng)站(一個(gè)位于廠商和安全研究者之間的漏洞報(bào)告平臺(tái))最新的漏洞信息的截圖：由此可見(jiàn)，互聯(lián)網(wǎng)漏洞每天都在發(fā)生，但我們卻是或熟視無(wú)睹或一無(wú)所知。漏洞多發(fā)領(lǐng)域?qū)τ诨ヂ?lián)網(wǎng)漏洞，國(guó)內(nèi)最大的漏洞報(bào)告平臺(tái)“烏云”的負(fù)責(zé)人曾說(shuō)：“互聯(lián)網(wǎng)安全問(wèn)題在保險(xiǎn)業(yè)、銀行業(yè)、證券業(yè)普遍存在?！钡?，互聯(lián)網(wǎng)漏洞卻遠(yuǎn)遠(yuǎn)不止這些互聯(lián)網(wǎng)領(lǐng)域。他還存在于互聯(lián)網(wǎng)電商行業(yè)、互聯(lián)網(wǎng)注冊(cè)網(wǎng)站等等許多地方?；ヂ?lián)網(wǎng)金融隨著互聯(lián)網(wǎng)的誕生，銀行家們開(kāi)始發(fā)展網(wǎng)上銀行等相關(guān)業(yè)務(wù)，由于它的便捷性和易操作性受到很多用戶的喜歡。但是，在這些便利性的后面卻隱藏著巨大的安全隱患。金融行業(yè)牽扯到人民生活的方方面面，每年從CDP數(shù)據(jù)，我們就可以看出在這個(gè)行業(yè)所涉及到的金錢(qián)大概有多少。也因?yàn)槿绱?，所以在這樣的一個(gè)特殊的行業(yè)里，總是會(huì)有這樣或那樣的安全漏洞問(wèn)題出現(xiàn)。據(jù)報(bào)道，漏洞盒子安全研究團(tuán)隊(duì)對(duì)今年上半年全網(wǎng)1248個(gè)漏洞和133個(gè)安全事件分門(mén)別類的整理后發(fā)現(xiàn)：金融行業(yè)(保險(xiǎn)、銀行、證券、互聯(lián)網(wǎng)金融)漏洞總量較2014年增長(zhǎng)181.9%。數(shù)量幾乎涉及到全國(guó)近100家互聯(lián)網(wǎng)金融平臺(tái)。保險(xiǎn)業(yè)占金融行業(yè)中漏洞數(shù)比例最高，達(dá)到27.1%；互聯(lián)網(wǎng)金融占金融行業(yè)的26.1%，位居第二；銀行漏洞數(shù)量占23.3%；證券行業(yè)占15.2%；其他占8.3%?；ヂ?lián)網(wǎng)金融銀行、證券行業(yè)等互聯(lián)網(wǎng)安全漏洞的產(chǎn)生跟近些年來(lái)開(kāi)戶人數(shù)的增多，資金交流的頻繁、各方面監(jiān)管不嚴(yán)都有密切的關(guān)系。在互聯(lián)網(wǎng)金融方面，目前主要有以下幾種類型的漏洞狀況：(1)權(quán)限越權(quán)操作主要是由于不安全對(duì)象引用和功能級(jí)別訪問(wèn)控制缺失所導(dǎo)致，比如說(shuō)“越級(jí)上報(bào)”，最近新出的一個(gè)安全漏洞即華安保險(xiǎn)網(wǎng)上理賠系統(tǒng)后臺(tái)JBoss無(wú)驗(yàn)證導(dǎo)致上傳webhshell，遠(yuǎn)程腳本執(zhí)行敏感信息泄露，就屬于這種越權(quán)操作的行為，當(dāng)然此行為有時(shí)會(huì)是黑客所為，有時(shí)卻是金融系統(tǒng)管理不善導(dǎo)致。(2)用戶密碼重置網(wǎng)上辦理業(yè)務(wù)時(shí)密碼被盜取，銀行里的錢(qián)不翼而飛，這種情況通常與密保電話、密保郵箱等密碼被盜取有關(guān)。許多的金融業(yè)務(wù)的平臺(tái)都存在“動(dòng)態(tài)密碼”，即用戶輸入手機(jī)或是郵箱時(shí)，因?yàn)槟承┫到y(tǒng)的保密性不足，手機(jī)號(hào)碼和相關(guān)用戶名等信息被竊取和重置，給用戶帶來(lái)?yè)p失。其實(shí)我們時(shí)時(shí)刻刻都在在經(jīng)歷類似的操作，比如唯品會(huì)、天貓、京東等等電商平臺(tái)上的那些支付程序和密碼重置程序，也有著類似的信息安全問(wèn)題。(3)信息泄露信息泄露是互聯(lián)網(wǎng)安全漏洞頻發(fā)的主要原因。在一些網(wǎng)上銀行、互聯(lián)網(wǎng)保險(xiǎn)業(yè)務(wù)等行業(yè)里，經(jīng)常會(huì)要求在網(wǎng)上輸入用戶的個(gè)人相關(guān)信息，如果某些信息在審查過(guò)程中監(jiān)管不到位，那么這樣的信息泄露事件就非常容易發(fā)生?；ヂ?lián)網(wǎng)電商支付近些年來(lái)，隨著京東、淘寶、1號(hào)店等電商的崛起，每天在網(wǎng)站上消費(fèi)的人群也越來(lái)越多，消費(fèi)者在網(wǎng)上需要驗(yàn)證支付的人群也就越來(lái)越多，用戶注冊(cè)以及金錢(qián)交易方面所要涉及的面也就越來(lái)越廣，信息安全的管理上也經(jīng)常出現(xiàn)漏洞。(1)信息保管漏洞比如說(shuō)：由于保管不當(dāng)，許多信息在處理的過(guò)程中就會(huì)出現(xiàn)一些不同程度上的錯(cuò)誤和遺失，從而導(dǎo)致安全問(wèn)題的出現(xiàn)。例如，2014年的小米論壇遭“脫褲”事件，約有800萬(wàn)小米社區(qū)用戶數(shù)據(jù)泄漏。事件發(fā)生后，不少用戶反應(yīng)收到詐騙電話，電話另一端能提供包括姓名、地址、電話、商品購(gòu)買(mǎi)記錄、密碼、郵箱、注冊(cè)IP等用戶的準(zhǔn)確信息。(2)惡意盜刷漏洞這樣的事件其實(shí)已屢見(jiàn)不鮮，主要是存在于銀行業(yè)務(wù)方面，但是隨著第三方支付平臺(tái)的興起，惡意盜刷軟件也蔓延到了網(wǎng)上支付平臺(tái)。比較出名的例子當(dāng)屬上半年的一款名為“心臟出血”的重大安全漏洞，此漏洞以迅雷不及掩耳之勢(shì)侵入電商支付接口、網(wǎng)絡(luò)銀行等，竊取用戶賬戶信息。據(jù)統(tǒng)計(jì)，受其影響到的人群達(dá)到2億。(3)權(quán)限越過(guò)漏洞今日在神話黑客聯(lián)盟的官網(wǎng)上，就出現(xiàn)這一漏洞：阿里云管理后臺(tái)權(quán)限繞過(guò)漏洞，不法分子可直接繞過(guò)網(wǎng)站權(quán)限修改用戶的個(gè)人信息等等?；ヂ?lián)網(wǎng)其它網(wǎng)站網(wǎng)站是互聯(lián)網(wǎng)最重要的組成部分，也是互聯(lián)網(wǎng)漏洞的重點(diǎn)高發(fā)區(qū)域，每年基本上都會(huì)出現(xiàn)或多或少的網(wǎng)站信息漏洞事件，影響甚廣。而這些漏洞的類型也都是大同小異：比如：與我們的出行密切相關(guān)的12306網(wǎng)站就經(jīng)常出現(xiàn)高峰時(shí)段癱瘓、驗(yàn)證碼復(fù)雜難以登陸、串號(hào)等這樣的漏洞事件，嚴(yán)重時(shí)會(huì)導(dǎo)致大量用戶信息遭泄露，影響甚廣；曾經(jīng)的世紀(jì)佳緣在這個(gè)方面也曾經(jīng)出現(xiàn)過(guò)數(shù)據(jù)泄露整站源碼事件；微軟這個(gè)互聯(lián)網(wǎng)大佬也在這個(gè)方面相當(dāng)頭疼：據(jù)悉，截止到今年9月8日：微軟發(fā)布12個(gè)新的安全公告，微軟今年的安全漏洞已經(jīng)有105個(gè)，涉及的方面主要有Windows日記本、微軟圖形組件、IE瀏覽器和新的Edge瀏覽器等方面出現(xiàn)的漏洞。漏洞背后烏云網(wǎng)站“漏洞列表”部分?jǐn)?shù)據(jù)其實(shí)縱觀這些互聯(lián)網(wǎng)出現(xiàn)的漏洞，我們會(huì)發(fā)現(xiàn)漏洞形式五花八門(mén)。但總結(jié)起來(lái)主要有以下幾個(gè)方面的漏洞類型，也就是我們上面所提到的：1、權(quán)限漏洞比如，越過(guò)權(quán)限，冒充用戶竊取用戶個(gè)人信息等等。2、信息泄露漏洞網(wǎng)站本身的操作不當(dāng)或是網(wǎng)站本身就存在這些漏洞也會(huì)造成用戶信息被泄露的風(fēng)險(xiǎn)。3、惡意軟件攻擊漏洞這類主要是由一些所謂的網(wǎng)絡(luò)黑客故意攻擊而產(chǎn)生的漏洞。比如：SQL注入攻擊就是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段。在這些漏洞的背后，折射出的還是互聯(lián)網(wǎng)程序開(kāi)發(fā)領(lǐng)域的不足：無(wú)論是金融還是電商亦或是其他的網(wǎng)站上，程序代碼之間環(huán)環(huán)相扣，每一個(gè)環(huán)節(jié)的錯(cuò)誤都有可能變成一個(gè)漏洞而受到不法分子的入侵。如果再加上工作人員的操作不當(dāng)或管理不善，那么漏洞的存在就會(huì)更加的輕而易舉。而黑客的存在和互聯(lián)網(wǎng)監(jiān)管的不力就更加助長(zhǎng)了漏洞的囂張氣焰，讓漏洞變得更加猖獗。結(jié)語(yǔ)雖然，中國(guó)網(wǎng)絡(luò)安全問(wèn)題國(guó)家一直非常重視：專門(mén)成立以習(xí)近平主席為組長(zhǎng)的中央網(wǎng)絡(luò)安全和信息化小組；央行等部委也發(fā)布過(guò)諸如《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見(jiàn)》、《非銀行支