首页 > 关于GA黄金甲 > 新闻动态 > 深度解读

金融行业十大类“网红”缝隙你都意识吗?

颁布功夫 2020-03-06

提起网红

各人脑海里最先浮现的是

网络红人、网红店铺、网红幼吃

……

今天

幼编给各人盘点不一样的网红

金融行业十大类“网红”缝隙

近年来，随着云、大、物、智、移等新技术在金融行业的深度融合与利用创新，给行业发展增添更多新生活力，同时也露出出复杂多样的信息安全问题。

GA黄金甲基于金融行业钻研和项目实际总结，整顿综合出近年来金融行业“活跃度”较高的十大类缝隙（排名不分先后），并提出一些安全建议，供宽大金融行业用户参考。

业务逻辑类缝隙

金融行业与资金流动缜密有关，互联网金融、网上银杏注移动支付等新兴模式已趋于常态化，这对金融机构系统或网站设计提出更高要求。若涉及到资金买卖等某些职能�？榇嬖谌钡�，产生的业务逻辑类缝隙很容易给金融机机关成沉大利益损失。

业务逻辑类问题重要为：

? 允许篡改买卖过程中的积分、金额、数量、收款人信息；

? 通过网页能够直接获取短信验证码；

? 关键操作不足二次认证；

? 客户端能够节造采办商品单价；

? 转账、支付金额允许为负值；

? 沉置肆意用户账户密码。

GA黄金甲安全建议

金融机构针对买卖类业务，应试虑到防数据篡改、预防沉放攻击等问题；针对沉点参数，如单价、金额等参数需在服务端天生或对客户端提交的数据进行二次认证。

数据泄露缝隙

近年来，金融机构遭逢到的网络安全攻击日益频仍，银行账户、幼我隐衷等敏感信息被盗取的情况时有产生，给金融机构、企业及幼我造成难以预估的损失。在我国已颁布《网络安全法》、《幼我金融信息�；ぜ际豕娣丁�，在造订数据安全法的布景下，若何�；び没б院褪莅踩⑷艉卧し澜鹑谛幸党鱿殖链笫菪孤妒挛褚廊皇峭绨踩煊虻墓刈⒊恋�。

近年来金融行业沉大数据泄露事务

GA黄金甲·(中国区)官方网站

GA黄金甲安全建议

当前金融机构对信息和数据安全较为器沉，业务系统的安全防护更为缜密。建议金融机构定期进行员工幼我信息安全意识的培训工作，同时可通过GA黄金甲天清汉马USG数据防泄露系统（DLP），援手治理者发现组织内部潜在的泄密风险，以有效降低数据泄露的可能性。

中央件缝隙

金融机构系统开发多数使用Apache Tomact、struts2、Weblogic、ngnix等中央件，因而第三方组件缝隙往往是攻击者尝试挖掘的沉点，必要引起高度器沉。

GA黄金甲·(中国区)官方网站

GA黄金甲安全建议

治理员应实时关注中央件有关缝隙，对存在缝隙的中央件实时进行更新或打补丁。GA黄金甲可为用户提供天镜脆弱性扫描与治理系统，对主机操作系统以及网络设备的脆弱性查抄、评估与治理，援手安全运维人员实时发现有关缝隙，降低安全隐患产生的风险。

第三方系统缝隙

伴随互联网金融的发展，分歧类型的金融机构为满足用户的个性化需要，在成立系统开发能力的过程中，大量使用第三方的利用或框架，好比OA系统、邮件系统等，以便提升金融服务效力，这也导致第三方系统缝隙成为较为常见的攻击选择。

GA黄金甲·(中国区)官方网站

GA黄金甲安全建议

建议金融机构对所使用的第三方利用系统更新情况进行实时关注，并第一功夫进行更新，以降低第三方系统缝隙可能带来的安全隐患。

跨站剧本攻击缝隙

跨站剧本攻击是最常见的Web利用法式缝隙之一，当用户浏览被嵌入恶意代码网页时，恶意代码将会在用户浏览器上执行，进而盗取治理员的Cookie、篡改网页或跳转至垂钓页面、恶意系统等。

GA黄金甲·(中国区)官方网站

GA黄金甲安全建议

建议对特殊字符进行过滤，不信赖命户提交的任何内容，并对用户输入的内容进行检测。

跨站要求伪造（CSRF）缝隙

跨站要求伪造缝隙指攻击者利用用户向服务器发送要求，导致用户信息被迫批改，甚至可引发蠕虫攻击。该缝隙可造成金融行业客户敏感信息泄露、非授权操作客户账户及CSRF蠕虫等风险。

GA黄金甲·(中国区)官方网站

跨站要求伪造（CSRF）攻击流程图

GA黄金甲安全建议

建议通过检验Referer字段并增长token进行校验的方式，预防产生CSRF缝隙。

主机缝隙

Windows和linux作为主流的操作系统，若未实时更新补丁，一旦被攻击者利用将会造成恶意代码执杏注权限提升等问题，导致电脑迷失沉要资料和信息，甚至系统被粉碎。

GA黄金甲·(中国区)官方网站

GA黄金甲安全建议

建议使用GA黄金甲天镜脆弱性扫描与治理系统，对主机操作系统进行脆弱性分析，实时发现脆弱点进而做到实时建补。

SQL注入缝隙

SQL注入作为数据库攻击和Web利用的一种攻击伎俩，时时被攻击者视为进到内网的突破口。在项目实际过程中，攻击者以SQL注入缝隙获取系统有关数据，登陆后盾治理系统进而对后盾治理系统进行渗入测试。

GA黄金甲·(中国区)官方网站

GA黄金甲安全建议

建议使用参数化查问方式进行SQL查问，过滤特殊字符，同时严格节造数据库用户的权限，对主题业务数据库信息进行加密处置。另表可选取GA黄金甲天玥数据库审计系统，以有效针对数据库犯法接见行为、数据库入侵行为、违规接见行为等进行实时告警和审计，实时发现违规风险问题，有效防护数据库安全。

肆意文件上传缝隙

金融机构好多系统都提供文件上传职能，在操作过程中，一旦呈此刻服务器端没有对上传文件的类型、大幼、保留蹊径及文件名进行严格限度，攻击者就很容易上传后门法式获得WebShell，从而节造服务器。

GA黄金甲·(中国区)官方网站

GA黄金甲安全建议

建议使用白名单验证对上传文件类型进行过滤，可选取GA黄金甲天清入侵防御系统（IPS），实时正确发现各类入侵攻击行为，并执行实时精确阻断。

号令执行缝隙

号令执行缝隙是由于Web服务器对用户输入号令检测不及，导致攻击者能够在Web利用中执行系统号令，从而获取敏感信息或者拿下服务器权限。更常见的号令执行缝隙是产生在各类Web组件、Web容器、Web框架、CMS等。

GA黄金甲·(中国区)官方网站

GA黄金甲安全建议

建议金融机构实时对存在缝隙的组件、框架等进行更新，同时可借助GA黄金甲Web利用防火墙，来防御以 Web 利用法式缝隙为指标的攻击，并针对 Web 服务器进行 HTTP/HTTPS 流量分析，及针对 Web 利用接见各方面进行优化。

在金融科技持续发展和信息化过程不休推动下，金融行业面对的网络安全威胁更趋于多元化和复杂化，势必会引发更多新的需要与挑战。作为网络安全行业领军企业，GA黄金甲将持续秉承初心，持续为宽大金融行业用户提供高质量的产品和服务，与行业用户一起砥砺前行，应对考验。

7*24幼时服务热线

400-624-3900

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

关于GA黄金甲

金融行业十大类“网红”缝隙你都意识吗?

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线

软件升级

投资者关系

关于GA黄金甲

金融行业十大类“网红”缝隙 你都意识吗?

7*24幼时服务热线

金融行业十大类“网红”缝隙你都意识吗?