金融行业平台常见安全漏洞与防御
目前除了常见的网上银行、第三方支付，这两年很多的民间融资贷款平台也逐步兴起，像P2P网贷、众筹等。越直接涉及到金钱的业务就越敏感，这是众所周知的，平台的运作除了建立在强大的资金链之外，平台自身的公信力也是很关键的，在陆陆续续的一些金融平台出现过安全问题后，越来越多的此类平台也逐步意识到安全的重要性。
作者：王涛  企业QQ认证：2880269184  来源：佛山德胜电信机房DDOS防御

一、前言描述

互联网金融是这两年来在金融界的新兴名词，也是互联网行业一个重要的分支，但互联网金融不是互联网和金融业的简单结合，而是在实现安全、移动等网络技术水平上，被用户熟悉接受后，适应新的需求而产生的新模式及新业务，目前除了常见的网上银行、第三方支付，这两年很多的民间融资贷款平台也逐步兴起，像P2P网贷、众筹等。越直接涉及到金钱的业务就越敏感，这是众所周知的，平台的运作除了建立在强大的资金链之外，平台自身的公信力也是很关键的，在陆陆续续的一些金融平台出现过安全问题后，越来越多的此类平台也逐步意识到安全的重要性。

我们曾经受邀请检测过网上一些互联网金融交易平台，在检测的过程曾发现部分平台存在着严重的安全问题，在本期的技术专题中我们将针对所发现过的一些常见的安全问题进行总结，同时提出相应的解决办法，希望对开发的人员代码安全能力有所提高。

二、安全漏洞剖析

2.1统计

我们对曾测试对约多家金融交易平台进行过一次漏洞统计，除了常见的一些如注入、跨站、CSRF、恶意上传等Web漏洞外，部分金融平台在业务功能上存在着严重的风险，如任意用户密码重置、交易参数恶意篡改等，与常见的注入、恶意上传不同，这些业务逻辑的漏洞不会直接影响服务器的安全，但却会直接影响用户的资金、账号的安全，其风险程度有过之而无不及，若被黑客所利用或被曝光，将严重影响平台公信力。

我们对常见的漏洞进行过统计，发现其中越权操作的占比最高，在我们所测试过的平台中基本都有发现，包括任意查询用户信息、任意删除等行为;最严重的漏洞出现在账号安全，包括重置任意用户密码、验证码暴力破解等。下面我们将以举例的方式给介绍一些常见的安全问题以及其解决方法。

2.2越权操作

漏洞描述

平行权限越权操作其实是一种较为常见的安全漏洞，在OWASP Top 10中也有所提及，分别为不安全对象引用和功能级别访问控制缺失。

其中不安全对象引用指的是平行权限的访问控制缺失，比方说，A和B两个同为一个网站的普通用户，他们之间的个人资料是相互保密的，A用户的个人资料可以被B用户利用程序访问控制的缺失恶意查看，由于A用户和B用户之间是一个同级的账号，因此称为平行权限的访问控制缺失。功能级别访问控制缺失指的是垂直权限的访问控制缺失，比方说，A账号为普通账号、B账号为管理员账号，B账号的管理页面时必须是以管理员权限登录后方可查看，但A账号可通过直接输入管理页面URL的方式绕过管理员登录限制查看管理页面，由于A用户和B用户的权限是垂直关系，因此称为垂直权限的访问控制缺失。该类型属于业务设计缺陷的安全问题，因此传统的扫描器是无法发现的，只能通过手工的渗透测试去进行检查。在金融平台中以平行权限的访问控制缺失较为常见。

【提醒注意】

代码防护

针对平行权限的访问控制缺失，我们建议使用基于用户或者会话的间接对象引用进行防护，比方说，一个某个选项包含6个授权给当前用户的资源，它可以使用一串特殊的数字或者字符串来指示哪个是用户选择的值，而不是使用资源的数据库关键字来表示，数字和字符串的生成可以结合账号信息进行生成，使得攻击者难以猜测生成的方式。

针对垂直权限的访问控制缺失，我们建议可以使用缺省拒绝所有的访问机制，然后对于每个功能的访问，可以明确授予特定角色的访问权限，同时用户在使用该功能时，系统应该对该用户的权限与访问控制机制进行校对。

2.3任意重置用户密码

漏洞描述

在众多的交易平台中，NSTRT发现任意重置用户密码这类型的问题也较为普遍，主要是出现在密码找回、邮箱验证等方面，部分漏洞从技术原理来说上来说它与越权操作时相似的，即用户越权去修改其他用户的信息，如密保电话、密保邮箱等，由于它敏感性所以我们将它归纳成一类进行探讨。

代码防护

针对案例一中的漏洞，我们建议在第二步修改密码时服务端再次验证手机验证码，部分平台所采用的做法是，第一步验证码提交成功后，将验证码隐藏在一个“hidden”表单中，并在第二步修改密码中进行提交，服务端再次验证短信验证码，保证准确性，同时对验证码的错误次数进行限制，当验证错误超过特定次数，当前验证码无效。

针对案例二中的漏洞，我们同样建议随机验证码设置错误次数限制，当验证错误超过特定次数，当前验证码即无效。

2.4恶意注册

漏洞描述

恶意注册，是指攻击者利用网站注册功能的安全漏洞，注册大量的垃圾账号，导致系统增多大量无用数据。一般网站开发者为了防止恶意注册的行为，在注册页面均会在加入一些需要人工输入的步骤，比方说短信验证码，邮箱验证等。但是在对金融平台测试的过程中，同样也发现了部分验证功能可被绕过。

代码防护

目前遇到的大部分恶意注册类的安全漏洞均为验证码可被多次使用造成，我们建议后台对验证码的使用进行限制，任何的验证码应为一次性，防止验证码被多次使用。

2.5恶意短信

漏洞描述

恶意短信是一种类似于DDoS的攻击方式，他是利用网站的短信相关的功能，对用户的手机进行长时间的短信轰炸，导致手机瘫痪。除了单纯的短信轰炸之外，我们在测试过程中也发现，部分金融交易平台对所发送的短信内容也并没有进行限制，导致可被利用进行短信欺诈。

代码防护

针对恶意短信类的安全问题，我们建议可以通过以下两种方式进行防护：

1、从服务端限制每个号码的发送频率和每天的发送次数，防止攻击者利用短信接口进行恶意轰炸。

2、发送短信的内容应直接由系统内部进行定义，客户端可通过数字或字符的方式，对所需要发送的内容进行选择，如messagetype=1 为密码找回，messtype=2为注册，然后通过数字来索引要发送的内容。

三、总结

随着社会的进步，互联网金融交易平台将会越来越流行，平台涉及用户信息、资金等敏感信息，因此平台安全性应更应受到重视，开发商必须加强开发人员的代码安全意识，建立代码安全开发规范，同时结合第三方渗透测试和代码审计的方式对即将上线的系统仅测试，提高平台的安全性。

【编辑推荐】

• 安全漏洞披露：三个令人不安的新趋势

• 总结近年来安全漏洞：老漏洞为黑客提供捷径

• 寻找安全漏洞?谨慎为之
  

【责任编辑：王涛 TEL：18022235390】