第三方支付漏洞頻發(fā)原因盤(pán)點(diǎn)分析：安全意識(shí)薄弱

　　市場(chǎng)普遍認(rèn)為，隨著近幾年第三方支付的快速發(fā)展，加之第三方支付機(jī)構(gòu)問(wèn)題的暴露，漏洞安全問(wèn)題也漸漸的顯現(xiàn)出來(lái)，具體原因是什么呢?一起看下下文分析吧。

　　國(guó)內(nèi)第三方安全平臺(tái)監(jiān)測(cè)顯示，在幾大互聯(lián)網(wǎng)金融領(lǐng)域中，第三方支付的安全值最低。2016年4月，央行發(fā)布了《非銀行支付機(jī)構(gòu)分類評(píng)級(jí)管理辦法》，系統(tǒng)安全被列為基本評(píng)價(jià)指標(biāo)，占比15%，為第三大考量因素。

　　“烏云漏洞”平臺(tái)安全專家高朋告訴記者，第三方支付平臺(tái)漏洞類型普遍，主要表現(xiàn)在中間件漏洞導(dǎo)致風(fēng)險(xiǎn)、網(wǎng)站設(shè)計(jì)邏輯問(wèn)題及詐騙。業(yè)內(nèi)人士認(rèn)為，安全意識(shí)的薄弱，是支付平臺(tái)漏洞頻發(fā)的根本原因之一。

　　中間件的漏洞爆發(fā)導(dǎo)致大批平臺(tái)中槍

　　第三方支付平臺(tái)用于開(kāi)發(fā)網(wǎng)站常見(jiàn)的通用組件有Struts2、Weblogic、JBoss。

　　中間件的漏洞爆發(fā)會(huì)導(dǎo)致大批平臺(tái)中槍，在第三方支付平臺(tái)的安全隱患中，此類事件非常多見(jiàn)。

　　今年1月，烏云平臺(tái)曝光了某知名支付平臺(tái)的高危漏洞。由于Weblogic反序列化，導(dǎo)致海量用戶可被任意登錄、敏感信息泄露，涉及用戶數(shù)量上億。

　　高朋介紹，此次Weblogic漏洞爆發(fā)于去年11月。漏洞爆發(fā)前，Weblogic官網(wǎng)發(fā)出公告，根據(jù)漏洞詳情發(fā)布補(bǔ)丁或新系統(tǒng)。如果運(yùn)維人員關(guān)注到更新并分析、修補(bǔ)，上述風(fēng)險(xiǎn)便不會(huì)發(fā)生。

　　但在漏洞爆發(fā)了數(shù)月后，該平臺(tái)依然被白帽子查出，被利用進(jìn)入核心數(shù)據(jù)庫(kù)。

　　烏云安全專家王彪告訴記者，黑客利用Weblogic漏洞進(jìn)入數(shù)據(jù)庫(kù)比以往容易很多。攻擊者通過(guò)帶有攻擊代碼的請(qǐng)求控制問(wèn)題服務(wù)器，連接數(shù)據(jù)庫(kù)，相當(dāng)于控制服務(wù)器權(quán)限。

　　控制了服務(wù)器權(quán)限后，不難找到數(shù)據(jù)庫(kù)并進(jìn)入。白帽子的“漏洞報(bào)告”顯示，該平臺(tái)核心數(shù)據(jù)上億條，涉及用戶手機(jī)、身份證、驗(yàn)證碼等。

　　甚至，還可看到后臺(tái)賬戶中的余額，并在服務(wù)器上修改任意用戶密碼、登錄，便可進(jìn)行充值、提現(xiàn)等。如果漏洞被黑客利用，將影響平臺(tái)信譽(yù)，造成不可估量的財(cái)物損失。

　　“查看”過(guò)程是需要時(shí)間的，如果后臺(tái)有人及時(shí)發(fā)現(xiàn)并干預(yù)，黑客就無(wú)法操作。但該白帽子在操作過(guò)程中，并未受到任何干預(yù)。

　　這直接暴露了平臺(tái)安全意識(shí)的薄弱?！鞍踩庾R(shí)強(qiáng)的團(tuán)隊(duì)，這種漏洞應(yīng)該早打好補(bǔ)丁。對(duì)于團(tuán)隊(duì)而言，提前打補(bǔ)丁比事后修復(fù)更省心?！蓖醣氡硎?。

　　不過(guò)，烏云公開(kāi)漏洞后，該平臺(tái)很快完成了修復(fù)。記者在烏云查詢與weblogic相關(guān)的漏洞，有大量公司紛紛中槍。

　　高朋表示，通用組件漏洞修復(fù)要對(duì)系統(tǒng)升級(jí)，可能會(huì)使系統(tǒng)短暫中斷。由于支付穩(wěn)定性比安全性更重要，有開(kāi)發(fā)者往往選擇加一道防火墻，但并不是根本的解決辦法。

　　“官方已發(fā)布安全更新的漏洞，修復(fù)起來(lái)相對(duì)簡(jiǎn)單。此類中間件使用普遍，最重要的是，運(yùn)維應(yīng)該了解網(wǎng)站的中間件，隨時(shí)關(guān)注，及時(shí)修補(bǔ)?！彼f(shuō)。

　　漏洞頻發(fā)的根本原因：安全意識(shí)薄弱

　　另一個(gè)支付平臺(tái)的漏洞則暴露了平臺(tái)在設(shè)計(jì)網(wǎng)站時(shí)，存在的邏輯漏洞。

　　去年3月，烏云曝光了某平臺(tái)“大量合作商家訂單信息可被泄露”的高危漏洞。該平臺(tái)相關(guān)合作商家的訂單信息可被遍歷，存在泄露風(fēng)險(xiǎn)。

　　高朋介紹，攻擊者可先進(jìn)行充值，在銀行跳往支付過(guò)程中截取信息，修改網(wǎng)址中的訂單號(hào)，就可進(jìn)入任意商家訂單頁(yè)面。

　　漏洞原因是訂單編號(hào)設(shè)計(jì)過(guò)于簡(jiǎn)單，任何人可通過(guò)窮舉方式查看他人的訂單頁(yè)面。

　　該平臺(tái)隨后對(duì)漏洞確認(rèn)，并評(píng)級(jí)為低。該公司向記者解釋，“漏洞提交后，經(jīng)過(guò)我們實(shí)際驗(yàn)證，該漏洞只涉及少量會(huì)產(chǎn)生訂單號(hào)的商戶，且漏洞所反映的實(shí)際存在問(wèn)題是訂單號(hào)為累加的;由于支付環(huán)節(jié)不涉及商戶賬戶密碼，故也不涉及‘自動(dòng)登錄到合作商家的用戶賬號(hào)’中的危害?！?

　　至于漏洞的修復(fù)情況，對(duì)方表示當(dāng)天已修復(fù)，“將訂單號(hào)隨機(jī)化，而非簡(jiǎn)單累加，并定期刪除與需要的訂單號(hào)碼;同時(shí)聯(lián)系商戶告知并幫助商戶進(jìn)行修復(fù)?！?

　　除了上述兩種最常見(jiàn)的漏洞以外，也有信息保存不善導(dǎo)致的漏洞。

　　如員工在公司使用的密碼與其他一致，或較常見(jiàn)，黑客通過(guò)“撞庫(kù)”登錄，進(jìn)而控制服務(wù)器。

　　一個(gè)業(yè)內(nèi)著名的案例是，某員工將公司網(wǎng)站代碼儲(chǔ)存到某第三方平臺(tái)，被發(fā)現(xiàn)后大面積曝光，導(dǎo)致公司存在嚴(yán)重的信息泄露風(fēng)險(xiǎn)。

　　谷安天下高級(jí)咨詢顧問(wèn)邊美娜表示，有人提出基于銀行的三道防線，即業(yè)務(wù)部門、風(fēng)險(xiǎn)管理、審計(jì)部門。她認(rèn)為支付平臺(tái)應(yīng)增加第四道防線，即安全部門。

　　由于國(guó)內(nèi)安全領(lǐng)域沒(méi)有出現(xiàn)非常嚴(yán)重的漏洞事件，很多公司對(duì)安全并不重視，不是每個(gè)公司都有安全團(tuán)隊(duì)。安全意識(shí)的薄弱，是支付平臺(tái)漏洞頻發(fā)的根本原因之一。

　　在首批支付牌照即將到期之時(shí)，央行將系統(tǒng)安全作為評(píng)價(jià)標(biāo)準(zhǔn)之一。在下一批牌照下發(fā)之前，或許給各支付公司敲響了警鐘，支付安全也必須成為各平臺(tái)關(guān)注的下一個(gè)修復(fù)重點(diǎn)。

　　更多第三方支付行業(yè)，最新相關(guān)資訊，請(qǐng)點(diǎn)擊查閱中國(guó)報(bào)告大廳發(fā)布的《2016-2021年中國(guó)第三方在線支付行業(yè)發(fā)展分析及投資潛力研究報(bào)告》。

更多第三方支付行業(yè)研究分析，詳見(jiàn)中國(guó)報(bào)告大廳《第三方支付行業(yè)報(bào)告匯總》。這里匯聚海量專業(yè)資料，深度剖析各行業(yè)發(fā)展態(tài)勢(shì)與趨勢(shì)，為您的決策提供堅(jiān)實(shí)依據(jù)。

更多詳細(xì)的行業(yè)數(shù)據(jù)盡在【數(shù)據(jù)庫(kù)】，涵蓋了宏觀數(shù)據(jù)、產(chǎn)量數(shù)據(jù)、進(jìn)出口數(shù)據(jù)、價(jià)格數(shù)據(jù)及上市公司財(cái)務(wù)數(shù)據(jù)等各類型數(shù)據(jù)內(nèi)容。