2022看雪安全开发者峰会
1、面向业务守护的移动安全对抗实践
2、从应用场景看金融安全 —— 逻辑为王
3、Linux内核漏洞检测与防御
4、从后门到漏洞——智能设备私有协议中的安全问题
5、漫谈AOSP蓝牙漏洞挖掘技术
6、Paralles Desktop虚拟机逃逸之旅
7、Dumart fuzz:让黑盒像白盒一样fuzz
8、猫鼠游戏:如何进行Windows平台在野0day狩猎
9、基于硬件虚拟化技术的新一代二进制分析利器
10、国产智能网联汽车漏洞挖掘中的几个突破点
在金融安全领域,逻辑的重要性不言而喻。传统的安全防护措施,如安全设备的部署、加密技术和反调试手段,虽然可以防止大部分攻击,但也阻碍了内部渗透测试的有效性,使得系统的安全状况可能被误判。金融系统,尤其是银行、基金、证券、保险等行业的系统,由于涉及大量敏感交易和客户信息,往往成为黑客的主要目标。这些系统通常由众多供应商提供服务,形成了一个庞大的开放平台。
面对这样的挑战,金融安全的现状是依赖于层层安全设备来防护,例如WAF(Web Application Firewall)用于拦截攻击流量,以及加密技术来保护数据。然而,当流量全加密时,标准的WAF可能无法有效区分正常数据和攻击数据。此外,金融系统中的一些特殊系统,如企业网银、IPO系统等,由于账户获取难度大,往往成为漏洞挖掘的重点,且漏洞挖掘难度与渗透测试的难度成正比。
在测试金融系统的安全性时,传统的方法是从漏洞类型出发,如XSS、SQL注入、水平/垂直越权等,虽然全面,但繁琐且容易遗漏功能点。而从应用场景出发的渗透测试则更注重逻辑性的测试,寻找特定场景下可能出现的漏洞。这种方法将多个功能点组成应用场景,针对每个场景进行全面的测试,以确保每个细节都被覆盖,减少了测试的复杂性和遗漏可能性。
以存款证明场景为例,从用户选择冻结类型、银行卡、金额,到接收证明文件的整个流程,都涉及到多个功能点。在开发过程中,每个步骤的逻辑处理不当都可能导致安全漏洞。例如,功能点间的越权问题、SQL注入、信息泄露、参数篡改等。开发者在设计场景时,必须考虑到各种可能的组合和逻辑漏洞,如非法冻结资产、生成资产证明时金额异常、利用价格差异和优惠信息生成非法订单,甚至异常账户成功开具证明等问题。
因此,金融安全不仅在于技术层面的加固,更在于理解并模拟攻击者的思维逻辑,找出潜在的薄弱环节。这要求安全专家深入理解业务流程,进行有针对性的测试,同时关注新场景开发中的逻辑漏洞,以实现更为全面和有效的安全防护。通过这种方式,金融机构可以更好地保护客户资产,降低风险,并提高整体的安全水平。
