日韩好吊妞中文字幕在线,日韩一区二区中文字幕,国产毛片天天看女人高潮,91精品国产免费自在线观看

互金專委會(huì)：共發(fā)現(xiàn)7210個(gè)互金網(wǎng)站漏洞 中高危漏洞占比超5成

1月2日，國(guó)家互聯(lián)網(wǎng)金融安全技術(shù)專家委員會(huì)（下稱“專委會(huì)”）發(fā)布互聯(lián)網(wǎng)金融網(wǎng)站漏洞分析報(bào)告。

專委會(huì)表示，互聯(lián)網(wǎng)金融信息系統(tǒng)在運(yùn)行過程中一旦發(fā)生數(shù)據(jù)泄露、盜取、篡改等事件，會(huì)使各方蒙受巨大損失，甚至影響經(jīng)濟(jì)和社會(huì)穩(wěn)定。近期，國(guó)家互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)分析技術(shù)平臺(tái)對(duì)互聯(lián)網(wǎng)金融行業(yè)的網(wǎng)站漏洞情況進(jìn)行了抽樣分析，形成本期報(bào)告，具體如下：

1、安全漏洞概覽

本次監(jiān)測(cè)分析覆蓋北京、深圳、浙江等省市共1529家互聯(lián)網(wǎng)金融平臺(tái)網(wǎng)站。按照風(fēng)險(xiǎn)的強(qiáng)弱等級(jí)進(jìn)行統(tǒng)計(jì)，其中高危評(píng)級(jí)網(wǎng)站占比12.4%，中危評(píng)級(jí)網(wǎng)站占比52.5%。共發(fā)現(xiàn)漏洞7210個(gè)，其中高危漏洞451個(gè)，占比6.2%，中危漏洞3395個(gè)，占比47.1%。

2、高危漏洞分布情況

高危級(jí)別的安全漏洞危害程度高，反映了迫切需要解決的安全問題。下圖展示了出現(xiàn)最多的10種高危漏洞的分布情況，排名前三的是跨站腳本、PHP版本官方不提供安全補(bǔ)丁和SQL注入。

跨站腳本漏洞在每年的OWASP TOP10中一直名列前茅，可被用于進(jìn)行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。惡意的攻擊者將對(duì)客戶端有危害的代碼放到服務(wù)器上作為一個(gè)網(wǎng)頁內(nèi)容，使得用戶在瀏覽此網(wǎng)頁時(shí)，這些代碼注入到用戶的瀏覽器中執(zhí)行，使用戶受到攻擊。一般而言，利用跨站腳本攻擊，攻擊者可竊取會(huì)話COOKIE從而竊取網(wǎng)站用戶的密碼等隱私數(shù)據(jù)。

對(duì)于SQL注入漏洞，攻擊者可在易受攻擊的系統(tǒng)上執(zhí)行任意SQL語句，損害數(shù)據(jù)庫(kù)的完整性和暴露敏感信息。根據(jù)使用中的后端數(shù)據(jù)庫(kù)，SQL注入漏洞導(dǎo)致攻擊者不同級(jí)別的數(shù)據(jù)和系統(tǒng)訪問。不僅可以操作現(xiàn)有查詢，還可以在任意數(shù)據(jù)中聯(lián)合，使用子選擇或附加查詢。在某些情況下，可以讀取或?qū)懭胛募?，或者在底層操作系統(tǒng)上執(zhí)行shell命令。

3、安全漏洞總體分布情況

通常來說，與高危漏洞相比，中低危漏洞在實(shí)際運(yùn)行環(huán)境中的危害相對(duì)較小，但仍能在一定程度上反映出系統(tǒng)質(zhì)量、開發(fā)人員對(duì)安全問題的重視程度等。為了更全面的了解互聯(lián)網(wǎng)金融行業(yè)的安全狀況，下圖展示了包括中低危漏洞在內(nèi)的所有級(jí)別安全漏洞TOP20的分布情況。

經(jīng)統(tǒng)計(jì)，點(diǎn)擊劫持漏洞占整個(gè)web漏洞數(shù)量約8.5%，用戶在不知情的情況下被偽裝的按鈕挾持，極易誘發(fā)財(cái)產(chǎn)流失。其它例如弱算法漏洞，一定條件下，密文可以被破解得到明文，通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，并進(jìn)行數(shù)據(jù)篡改和嗅探。如果用戶登錄存在該漏洞網(wǎng)站或使用相關(guān)軟件，用戶的信息和提交的數(shù)據(jù)請(qǐng)求可能被篡改或泄漏。對(duì)于用戶憑證明文發(fā)送漏洞，用戶傳輸?shù)馁~號(hào)、密文或者身份驗(yàn)證碼未加密傳輸，通過攔截正常的網(wǎng)絡(luò)通信數(shù)據(jù)，并進(jìn)行數(shù)據(jù)篡改和嗅探，可直接獲取，導(dǎo)致信息泄漏和賬號(hào)密碼被盜。

總體來說，從抽樣監(jiān)測(cè)分析的結(jié)果來看，目前互聯(lián)網(wǎng)金融行業(yè)的網(wǎng)絡(luò)安全情況不甚樂觀，存在的風(fēng)險(xiǎn)較高，部分企業(yè)的安全防護(hù)意識(shí)和投入不足，對(duì)安全漏洞可能帶來的風(fēng)險(xiǎn)認(rèn)識(shí)不到位。建議各企業(yè)切實(shí)加強(qiáng)安全防護(hù)意識(shí)和防護(hù)水平，建立健全信息安全管理體系，完善安全保障措施，定期開展網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評(píng)估，預(yù)警和防范內(nèi)外部風(fēng)險(xiǎn)。(來源：鳳凰網(wǎng)）