金融Web应用系统漏洞分析方法.pdf

金融Web应用系统漏洞分析方法 安赛- 林榆坚 关于我-安赛科技 • 姓名：林榆坚-linx • 北京安赛创想科技有限公司CTO • 知名漏洞扫描器AIScanner创始人 • 前百度网络安全工程师 • 目录 • 1. 金融行业安全现状 • 2. 问题根源 • 3. 现有解决方案面临的难题 • 4. 三位一体的漏洞分析方法 • 4.1 主动式（全自动）Web2.0漏洞扫描 • 4.2 半自动式漏洞分析：业务重放+高覆盖度 • 4.3 被动式漏洞分析：应对0Day和安全死角 金融行业安全现状（1）网站 2013年，经国内安全监管机构研究发现： 154家银行的官方网站，35家存在高危 漏洞，占总数的23% ；26家存在中危漏洞 ，占比17%。 存在中危及高危漏洞的银行数量占检测 总数45%，安全状况呈恶性发展趋势。 发现高中危漏洞数超过100个 金融行业安全现状（2）防护能力 • 20%的防护设备可被穿透-现有的攻击手段 金融行业安全现状（3）基础网络设施 • 斯洛登带给了我们什么？ 金融行业安全现状 • 基础网络设施漏洞情况，15%存在漏洞 控制网络设备 • 数十台网络设备存在漏洞 思科路由器 • 思科路由 华为路由器 • 华为路由器 金融行业安全现状 • 植入永久性木马、控制骨干节点 • 这种rootkit一旦被植入，将长期潜伏，难以 检出，更难以置换设备 我们面对的 • 45%的银行官方网站存在中高危险漏洞 • 20%的防护体系可以被穿透 • 15%的基础网络设施存在漏洞 目录 • 1. 金融行业安全现状 • 2. 问题根源 • 3. 现有解决方案面临的难题 • 4. 三位一体的技术方案 • 4.1 主动式（全自动）Web2.0漏洞扫描 • 4.2 半自动式漏洞分析：业务重放+高覆盖度 • 4.3 被动式漏洞分析：应对0Day和安全死角 金融行业安全现状 • 问题根源 一. 漏洞动态增加 二. 攻击技术动态发展、持续进化 金融行业安全现状 一.漏洞动态增加 每一项新产品、新技术的升级迭代，都会引进新的安 全漏洞。每一项新的业务类型，都会有新的风险模 型；业务变更和应用升级也有可能带进新的漏洞。 如： - Struts的每一次产品升级，都带来了新的安全风险。 - Nosql、XML、移动app漏洞 - 移动支付、二维码支付 问题根源 二.攻击技术动态升级 黑客技术不断发展，每天都可能有新的攻击 技术出现，给应用带来新的威胁。 如： 防火墙绕过技术