1、金融行业漏洞细分状况分析
银行、保险和互联网金融等:在2015年9月至11月期间,安华金和在乌云漏洞平台上汇总了206个金融行业的安全漏洞,其中高危漏洞195个,中危漏洞9个,低危漏洞2个,这些漏洞主要分布在银行(42个)、保险(47个)和互联网金融(47个)。
(图片来源网络,侵删)
金融机构漏洞:金融机构由于业务种类繁多,漏洞数量最高,新兴的互联网金融由于业务发展速度快于安全需求,暴露的安全威胁名列前茅,截至2015年11月底,全国范围内近100家互联网金融平台被爆出存在漏洞。
2、金融数据泄露原因分析
SQL注入与命令执行:SQL注入是金融业最大的威胁,紧随其后的是命令执行(框架漏洞),占比13%,越权类漏洞数量明显高于其他行业,特别是在互联网金融领域。
系统设计逻辑错误:平行越权查询、修改、垂直越权操作等,这些设计错误多体现在失败的权限约束上,形成一系列越权漏洞和SQL注入。
3、金融行业漏洞入侵防御建议
(图片来源网络,侵删)
代码审计与管理:加强代码审计,规避设计逻辑错误导致的安全风险,提高从业人员的安全意识和管理水平,避免出现弱口令、配置错误等问题。
WAF绕过手段应对:针对SQL注入,尽管有WAF辅助,但仍需应对编码绕过、注释绕过和等价替换等常见绕过手段。
金融行业面临着日益复杂的信息安全挑战,需要采取多层次的防护措施来保障数据安全和业务连续性。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/62017.html
