金融行业平台的针对性防御渗透测试

一、前言

互联网金融是这两年来在金融界的新兴名词，也是互联网行业一个重要的分支，但互联网金融不是互联网和金融业的简单结合，而是在实现安全、移动等网络技术水平上，被用户熟悉接受后，适应新的需求而产生的新模式及新业务，目前除了常见的网上银行、第三方支付，这两年很多的民间融资贷款平台也逐步兴起，像P2P网贷、众筹等。越直接涉及到金钱的业务就越敏感，这是众所周知的，平台的运作除了建立在强大的资金链之外，平台自身的公信力也是很关键的，在陆陆续续的一些金融平台出现过安全问题后，越来越多的此类平台也逐步意识到安全的重要性。

我们曾经受邀请检测过网上一些互联网金融交易平台，在检测的过程曾发现部分平台存在着严重的安全问题，在本期的技术专题中我们将针对所发现过的一些常见的安全问题进行总结，同时提出相应的解决办法，希望对开发的人员代码安全能力有所提高。

二、安全漏洞剖析

2.1统计

我们对曾测试对约多家金融交易平台进行过一次漏洞统计，除了常见的一些如注入、跨站、CSRF、恶意上传等Web漏洞外，部分金融平台在业务功能上存在着严重的风险，如任意用户密码重置、交易参数恶意篡改等，与常见的注入、恶意上传不同，这些业务逻辑的漏洞不会直接影响服务器的安全，但却会直接影响用户的资金、账号的安全，其风险程度有过之而无不及，若被黑客所利用或被曝光，将严重影响平台公信力。

我们对常见的漏洞进行过统计，发现其中越权操作的占比最高，在我们所测试过的平台中基本都有发现，包括任意查询用户信息、任意删除等行为；最严重的漏洞出现在账号安全，包括重置任意用户密码、验证码暴力破解等。下面我们将以举例的方式给介绍一些常见的安全问题以及其解决方法。

2.2越权操作

漏洞描述

平行权限越权操作其实是一种较为常见的安全漏洞，在OWASP Top 10中也有所提及，分别为不安全对象引用和功能级别访问控制缺失。