金融行业安全漏洞分析报告（二）

金融数据泄露原因分析

安华金和通过对大量金融行业安全漏洞进行统计分析，发现SQL注入依然是金融业最大威胁。命令执行（框架漏洞）紧随其后占据了13%的比例。而其中越权类漏洞数量占比明显高于其他行业。
2015年9至11月 金融行业安全漏洞类型

按照各行业深入探查不难发现：

1.银行行业中民营银行安全漏洞数量明显高于国有银行。

2.金融业漏洞威胁大，高危漏洞占到总漏洞数的94.56%

3.银行的APP业务成为隐含漏洞的重灾区

4.应用系统权限绕过漏洞五花八门

5.虽然有WAF，但SQl注入依然强劲。

整个金融行业中漏洞种类最全的就是互联网金融。下面我们着重介绍一下互联网金融业中的漏洞。
互联网金融安全漏洞类型

互联网金融业的漏洞数量虽然不是最多，但种类最全，分布也较为平衡。因为简单易用，用户对互联网金融的接受度普遍比较高。从各种宝到名目繁杂的P2P，互联网金融是金融业界的新宠儿。但由于该行业缺乏严格的政策管理和代码审计，业务发展的速度又远超安全可提供的支撑能力，前台代码质量较低，导致出现大量设计逻辑错误、SQL注入、跨站脚本攻击；从业人员安全意识低，管理不到位，导致出现大量弱口令、框架漏洞、配置错误、敏感信息泄露；软件更新缓慢，导致框架错误。

其中最为严重的是系统设计逻辑安全威胁。这些设计错误多体现在失败的权限约束上，形成一系列越权漏洞和SQL注入。越权本质并不复杂，例如平行越权查询、平行越权修改、垂直越权操作、批量注册、人以用户密码修改、密码暴力破解、平行越权下载、身份伪造漏洞、退出功能失效、任意邮箱注册漏洞、邮箱激活功能漏洞、刷积分漏洞、邀请码暴力破解、一号多户问题等等。