2018年4月12日,由深圳市互联网金融商会主办的“互联网金融平台技术服务及安全运营交流会”在深圳举行。沙龙现场火爆,参会人员多达150人。知道创宇高级安全顾问范磊在沙龙上发表了《千里之堤毁于蚁穴 发现一切安全漏洞》的演讲。演讲主要对互联网金融平台应当如何应对技术漏洞、业务逻辑漏洞做了详细的剖析。
范磊在演讲中提到:“随着互联网金融行业的正规化,互联网金融平台越来越注重平台的网络安全、业务安全等。对于互联网金融企业来说如果企业网站系统有技术漏洞则会对企业造成极大的数据及资金损失。日前,由漏洞引发的拖库使12306、联通等大型公司用户信息发生泄漏,造成了极大影响。此外,据CNcert数据显示,2015年国内近2.5万个网站被篡改,其中仅政府网站被篡改数为898个。特别是互联网金融平台,在黑客圈内也可谓是头号目标,一旦被黑客锁定平台将会面临黑客的重重攻击,防不胜防。”
黑客如此猖狂,企业应当如何应对呢?范磊提出:“渗透测试是针技术漏洞、业务逻辑漏洞最为行之有效的方式。KSA渗透测试能够通过P(计划)D(实施)C(检查)A(处理)对漏洞实施全面检查、1DAY漏洞预警、定期检查/复查的方式形成检测闭环,做到发现‘一切’漏洞。”那么KSA渗透测试又能具体做些什么呢?
KSA渗透测试主要分为三大部分:渗透测试、APP应用渗透测试、业务系统渗透测试。其主要测试流程包括:信息收集、威胁建模、漏洞挖掘、漏洞利用、后渗透、报告撰写、复测七大方面。渗透测试主要针对线上业务进行超级安全体检,为企业量身定制体检方案,包含业务逻辑性检测、渗透测试报告解读、安全开发技术培训等。APP应用渗透测试主要针对IOS、Android数据传输安全。业务系统渗透测试主要包含业内常规服务内容如信息泄漏、文件上传、注入漏洞等,而最具特色的则是业务逻辑漏洞挖掘,包括截获和修改金额漏洞、规避交易限制漏洞、请求重放漏洞、欺骗密码找回漏洞等。
知道创宇旨在为互联网金融的投资者提供更安全、更高效的投资环境,让互联网平台在层层防护之下,远离黑客攻击的威胁。同时,知道创宇拥有国内顶尖的安全服务团队和丰富的安全项目经验,涉及政府、金融、能源、教育、交通等多个领域,更为宜人贷、点融等多家大型互联网金融平台进行过渗透测试。
来源:freebuf.com 2018-04-17 17:43:59 by: Knownsec知道创宇
请登录后发表评论
注册