另一个支付平台的漏洞则暴露了平台在设计网站时,存在的逻辑漏洞。
本报记者 吴燕雨 北京报道
今年5月,央行发布的首批支付牌照即将到期。4月,央行发布了《非银行支付机构分类评级管理办法》,系统安全被列为基本评价指标,占比15%,排在客户备付金管理、合规风险防控后,为第三大考量因素。
不久前,国内第三方安全平台“安全牛”监测显示,几大互联网金融领域中,第三方支付的安全值最低。
“乌云漏洞”平台安全专家高朋告诉21世纪经济报道记者,第三方支付平台漏洞类型普遍,主要表现在中间件漏洞导致风险、网站设计逻辑问题及诈骗。
“白帽子”的黑客通道搜索
第三方支付平台用于开发网站常见的通用组件有Struts 2(开源框架第二代)、Weblogic(用于开发、集成、部署、管理大型分布式Web、网络、数据库应用的Java应用服务器)、JBoss(J2EE的开放源代码的应用服务器)。
中间件的漏洞爆发会导致大批平台中枪,在第三方支付平台的安全隐患中,此类事件非常多见。
今年1月,乌云平台曝光了某知名支付平台的高危漏洞。由于Weblogic反序列化,导致海量用户可被任意登录、敏感信息泄露,涉及用户数量上亿。
高朋介绍,此次Weblogic漏洞爆发于去年11月。漏洞爆发前,Weblogic官网发出公告,根据漏洞详情发布补丁或新系统。如果运维人员关注到更新并分析、修补,上述风险便不会发生。
但在漏洞爆发了数月后,该平台依然被白帽子查出,被利用进入核心数据库。
乌云安全专家王彪告诉记者,黑客利用Weblogic漏洞进入数据库比以往容易很多。攻击者通过带有攻击代码的请求控制问题服务器,连接数据库,相当于控制服务器权限。
控制了服务器权限后,不难找到数据库并进入。 白帽子的“漏洞报告”显示,该平台核心数据上亿条,涉及用户手机、身份证、验证码等。
甚至,还可看到后台账户中的余额,并在服务器上修改任意用户密码、登录,便可进行充值、提现等。如果漏洞被黑客利用,将影响平台信誉,造成不可估量的财物损失。
“查看”过程是需要时间的,如果后台有人及时发现并干预,黑客就无法操作。但该白帽子在操作过程中,并未受到任何干预。
这直接暴露了平台安全意识的薄弱。“安全意识强的团队,这种漏洞应该早打好补丁。对于团队而言,提前打补丁比事后修复更省心。”王彪表示。
不过,乌云公开漏洞后,该平台很快完成了修复。记者在乌云查询与weblogic相关的漏洞,有大量公司纷纷中枪。
高朋表示,通用组件漏洞修复要对系统升级,可能会使系统短暂中断。由于支付稳定性比安全性更重要,有开发者往往选择加一道防火墙,但并不是根本的解决办法。
“官方已发布安全更新的漏洞,修复起来相对简单。此类中间件使用普遍,最重要的是,运维应该了解网站的中间件,随时关注,及时修补。”他说。
逻辑错误引发的漏洞
另一个支付平台的漏洞则暴露了平台在设计网站时,存在的逻辑漏洞。
去年3月,乌云曝光了某平台“大量合作商家订单信息可被泄露”的高危漏洞。该平台相关合作商家的订单信息可被遍历,存在泄露风险。
高朋介绍,攻击者可先进行充值,在银行跳往支付过程中截取信息,修改网址中的订单号,就可进入任意商家订单页面。
漏洞原因是订单编号设计过于简单,任何人可通过穷举方式查看他人的订单页面。
该平台随后对漏洞确认,并评级为低。该公司向记者解释,“漏洞提交后,经过我们实际验证,该漏洞只涉及少量会产生订单号的商户,且漏洞所反映的实际存在问题是订单号为累加的;由于支付环节不涉及商户账户密码,故也不涉及‘自动登录到合作商家的用户账号’中的危害。”
至于漏洞的修复情况,对方表示当天已修复,“将订单号随机化,而非简单累加,并定期删除与需要的订单号码;同时联系商户告知并帮助商户进行修复。”
除了上述两种最常见的漏洞以外,也有信息保存不善导致的漏洞。
如员工在公司使用的密码与其他一致,或较常见,黑客通过“撞库”(收集已泄露的用户名密码,生成对应的“字典表”,到其他网站尝试批量登录,得到一批可登录的账号密码)登录,进而控制服务器。
一个业内著名的案例是,某员工将公司网站代码储存到某第三方平台,被发现后大面积曝光,导致公司存在严重的信息泄露风险。
谷安天下高级咨询顾问边美娜表示,有人提出基于银行的三道防线,即业务部门、风险管理、审计部门。她认为支付平台应增加第四道防线,即安全部门。
由于国内安全领域没有出现非常严重的漏洞事件,很多公司对安全并不重视,不是每个公司都有安全团队。安全意识的薄弱,是支付平台漏洞频发的根本原因之一。
在首批支付牌照即将到期之时,央行将系统安全作为评价标准之一。在下一批牌照下发之前,或许给各支付公司敲响了警钟,支付安全也必须成为各平台关注的下一个修复重点。
(编辑:李伊琳,邮箱:liyil@21jingji.com)