新浪财经讯 中国互联网金融论坛·天津于家堡峰会暨中国互联网金融协会天津基地入驻仪式于12月8日在天津举办。中国信息安全测评中心主任助理李斌发表了主题演讲,他表示移动互联网移动支付业务蓬勃发展,是非常惊人的。参与方也是非常多元化,包括传统的银行证券金融,包括移动互联网大的互联网企业,包括通讯运营商以及第三方支付的机构。在这里面所面临的问题也是因为多元化参与,因为高速发展,迭代式的发展开发的模式存在的一些隐患造成了面临诸多的威胁。
中国信息安全测评中心主任助理李斌以下为发言实录:
李斌:谢谢主持人,谢谢互金协会给我们这样一个好的机会。我也争取把时间留给最后一位演讲者。简单介绍一下测评在互金协会或者在移动金融里面安全保障共性问题。
首先我们看最近移动互联网移动支付业务蓬勃发展,是非常惊人的。参与方也是非常多元化,包括传统的银行证券金融,包括移动互联网大的互联网企业,包括通讯运营商以及第三方支付的机构。在这里面所面临的问题也是因为多元化参与,因为高速发展,迭代式的发展开发的模式存在的一些隐患造成了面临诸多的威胁。我们面临四类的威胁:
第一个是漏洞威胁。第二个是恶意代码,把一些有攻击行为的代码藏在第三方里面或者应用里面。第三个是移动网络的威胁,通过无线的方式wifi和蓝牙等攻击手段,以及移动设备本身存在的一些威胁,比如说设备信息的丢失。
我们中心成立20年只做了一件事情,就是安全测评。我们简单介绍一下在测评中的体会,我们做了非常繁多的跟互联网金融、移动金融相关的测评,包括银行类、微信等。在测评工作里面最大的问题是怎么样确定测试路径和覆盖面,在一些积累中间大概有五方面进行移动、客户端安全的检测,包括代码的安全。客户端和后台的服务器通讯之间是不是安全,人机交互安全,数据安全,业务逻辑安全,是跟我们技术相关的,比如说注册业务、登录业务等等各种产品的业务,考虑到互联网所面临的一些安全威胁或者是安全攻击提供的一些改造或者原有的安全疏忽。
这是多年来我们检测移动客户端发现有一百多种安全的问题,按照出现的频率产生的影响,从这个维度看的话把TOP分成与移动金融客户端的十方面,登录机制绕过、升级包可篡改,会话可重放可篡改,SSL加密证书锁定绕过、会话加密标志位可篡改等等,时间关系,只针对其中的一些问题进行简单的介绍。
登录业务逻辑存在安全缺陷,我们客户端输入userID的字段的时候,可以模拟我们登录的请求把后面密码等参数进行绕过,服务器很可能会被欺骗了。
加密证书未锁定,中间有可能攻击者作为响应先收再转发,从而可以获取通信内容,原理很简单,在开发应用的时候,往往客户端对服务器证书忘记去验证了,导致了前面的攻击。
第三个是JavaScript代码注入,常见于使用第三方服务的APP中,APP部分功能需要从服务器下载JavaScript文件。
第四个问题是HTML页面劫持,导致访问的是服务器,但返回的数据可能会被攻击者篡改,产生的页面劫持,返回的页面并不是真实的服务器页面。
第五个问题是密钥的编码及明文传输,把密钥作为代码写到程序中了,通过供给者进行通讯的截获发现明文传输的密钥从而掌握了密钥。
第六个问题跨站脚本也是老生常谈了,在我们的APP里面提供了评价功能,对于用户的评价数据或者信息没有进行检查,导致攻击者伪造特殊字符的评价,放到服务器中,同时造成了其他的用户在访问用户页面的时候把代码下载到他的客户端里面,导致了客户端的失控。
第七个问题升级是很常见的问题,升级包可篡改,一定要对升级的来源以及数据包进行完整性的校验,对包进行恶意篡改把后门或者代码带到客户端里面去。
针对这些问题不展开讲了,讲我们的几个建议,第一个是对开发的漏洞一定要进行挖掘,第二个是要进行安全检测,因为往往受开发周期的影响,对安全性会有所不足。第三个是对开发者安全的意识、安全的技能进行培训,提高他们安全的水平。第四个是安全的标准规范,现在国标委已经开始对准备出台跟安全开发编码相关的标准,我们也特别欢迎在座的各位专家一起来为我们的安全开发,特别是我们的移动金融或者是互联网金融方面,制定行业标准或者是国家标准,谢谢大家!
进入【新浪财经股吧】讨论
责任编辑:张文
