1、從高危漏洞看電商金融安全介紹1金融電商安全概況2趨勢與面臨問題3高危漏洞剖析4總結5金融安全概況漏洞盒子團隊整理分析了大量的金融安全案例。對今年上半年上千個金融安全漏洞進行了統 計分析，狀況令人堪憂。截止2015年6月底，有上百家平臺遭受不同程度的黑客攻擊，造成了 嚴重的用戶信息泄露，數據庫被惡意篡改，甚至是系統癱瘓等安全事故。數據來源：漏洞盒子及相關漏洞平臺金融行業漏洞類型證券行業漏洞統計保險行業漏洞統計銀行行業漏洞統計互聯網金融行業漏洞統計詳情可在F下載2015金融行業互聯網安全報告漏洞攻擊趨勢普通漏洞-業務邏輯漏洞（支付，金額，用戶數據相關的邏輯漏洞）Web應用漏洞-APP漏洞/各類AP

2、I接口/微信接口漏洞一次性攻擊-APT（高級持續性威脅）攻擊核心：盜取用戶數據，獲取金錢利益面臨問題技術層面來自外部的黑客攻擊，非授權訪問；數據庫數據被非法下載，篡改等；管理層面主要表現為人員的職責、流程有待完善，內部員工的日常操作有待規范；研發運維缺乏安全意識帶來的安全隱患等等傳統安全問題框架安全問題表達式語言注入（Struts,Spring任意代碼執行）常規安全問題各類系統的SQL，HQL注入漏洞邏輯漏洞（越權修改信息，任意密碼重置，訂單遍歷，支付金額篡改）登錄繞過（弱密碼組合，萬能密碼，邏輯判斷失 誤，脆弱的驗證碼）運維安全問題MongoDB未授權訪問JBoss jmx-console各

3、種Invoker war包部署Websphere/ WebLogic/ WebLogic/ Tomcat弱密碼， 后臺部署war包Oracle數據庫各類Web組件利用Resin任意文件讀取WEB-INF/web.xml可讀取導致源碼及敏感信息泄露XML類型Web服務安全問題XXE外部實體攻擊XML注入XPATH，XQUERY注入XML DoS拒絕服務攻擊SSRF服務端請求偽造REST類型Web服務安全問題過度依賴SSL通信SESSION和認證管理缺陷依賴HTTP基礎認證認證及授權安全問題OAuth授權實現不當HASH長度擴展攻擊CBC比特反轉攻擊基于SAML的外部實體攻擊Web2.0下安全問題

4、案例：越權查看某銀行查詢任意卡號余額案例：越權修改某著名電商越權刪除其他用戶收貨地址漏洞危害：通過地址ID遍歷，可刪除所有用戶地址案例：權限繞過國內知名IT社區繞過查看訂單信息通過前端javascript限制訪問密碼重置漏洞暴力破解驗證碼客戶端本地驗證驗證碼直接在response中返回跳過驗證步驟，直接訪問修改密碼頁面篡改接收驗證碼手機、郵箱密碼修改邏輯放在前臺js腳本，根據邏輯繞過修改密碼越權重置他人密碼密碼重置案例：某知名電商可越權修改整站用戶密碼案例：某酒類電子商務平臺APP設計缺陷可重置任意用戶密碼客戶端本地驗證支付漏洞：想付多少錢就多少錢初級支付漏洞：抓包修改金額，繞過前端，后端無驗

5、證，支付成功支付漏洞：免費購物，還能給賬號充錢初級支付漏洞：修改商品數量為負數，免費購買商品，甚至給賬號加錢支付漏洞：無限刷積分支付邏輯漏洞：綁定余額不足的銀行卡，反復購買商品，實際支付失敗，卻無限刷積分支付漏洞：把賬號提現成負數利用數據庫未加鎖，同一筆提款多線程并發提交，將賬戶余額提成負數案例：支付漏洞XXE外部實體攻擊!DOCTYPE UserInfo &name;案例：某P2P貸款平臺任意系統文件讀取容易被忽略的問題：APP/微信/API接口安全API接口案例：繞過舊密碼驗證直接改新密碼正常的密碼修改邏輯，需要驗證當前密碼所有的設置項都是通過同一API接口處理API接口案例：繞過舊密碼驗

6、證直接改新密碼在常規設置請求中添加要修改的用戶名和密碼字 段，提交到API接口處理，成功地修改了密碼。案例：github泄露源碼、密碼，被滲透某商城泄露集團各分店賬號密碼某大型知名保險公司泄露數據庫賬號密碼，測試環境賬號密碼案例：繞過waf防護端口某某財富SQL注入漏洞致全部數據泄露案例：安全意識不足某證券公司弱口令導致全國用戶信息泄露，可查看開戶詳細信息、資金信息等（涉及千萬核心數據）某證券從弱口令到SQL注入泄露全部投資者信息（大概涉及幾千億資產的120萬用戶信息）某證券某系統弱口令引發的股民資金安全血案某銀行應用弱口令導致信息泄漏和命令執行總結受利益驅使，金融、電商行業被更多黑客“盯上”，廠商越早地 主動客觀對待安全問題，才能避免更多的損失；建議企業更多地關心業務邏輯層面安全問題，AP