来源:蜘蛛抓取(WebSpider)
时间:2018-07-07 04:14
标签:
华泰金融控股
1.每位客户每投资5000元即可获得一次抽奖机会,每个账户每天最多拥有3次抽奖机会。
2.抽中现金红包的请到“会员中心”、“我的优惠”、“现金红包”中拆开,拆开后红包将直接发到账户余额中;投标时若优惠券符合条件,即可使用。
3.实物奖品在中奖后7个工作日内主动联系客服,逾期视为放弃奖励。客服确认后奖品在3个工作日内寄送或中奖者前往公司领取。
我的中奖纪录
云回通宝APP
微信公众号
全国理财热线
400 155 9106
周一到周五 09:00 - 21:00404:ㄦヨ椤甸瀛ㄦ宸茶わ浠ヤ稿充俊璁告ㄩ瑕
涓藉澶т腑B2B靛$绔,涓介¢ㄦ风绔,璇淇$缃涓浜ゆ骞冲
ㄦヨ椤甸瀛ㄦ宸茶わ浠ヤ稿充俊璁告ㄩ瑕:
琛涓瀵艰瀛姣ヨ锛安华金和金融行业安全漏洞分析报告
作者:安华金和
分类 : 比特网
报告介绍
+时代的到来,人们充分享受新时代科技创新成果的便利同时,万物互联带来的风险也日渐提高,泄密事件层出不穷,在资金体量庞大、用户信息集中、隐患影响深远的金融领域,所面临的安全问题尤为凸显。人们真切地感知到,原有的金融服务模式被颠覆,、第三方支付、互联网金融等新兴模式异军突起。用户也在这些新的业务模式下,将自身姓名、身份证号码、号码等身份认证信息与业务紧密绑定关联。所以说,互联网的发展为传统的信息防御体系划开了一道口子,打破看似牢不可破的安全防护状态,直逼用户核心。在这样的背景下,本次安华金和攻防实验室选择以近三个月金融行业数据安全高危漏洞为分析样本,就金融行业安全漏洞的分布状态、原因分析及对应的安全防御办法详尽描述。
本次报告核心观点
1. 金融行业漏洞细分状况分析
2. 金融数据泄露原因分析
3. 金融行业漏洞防御建议
报告正文
2015年9月至11月三个月的时间里,安华金和在乌云漏洞平台上汇总金融行业已被客户确认的安全漏洞共206个。其中高危漏洞195个,中危漏洞9个,低危漏洞2个。而这206个漏洞中,直接与数据泄露相关的漏洞110个,占漏洞总量的的53%。
金融行业漏洞细分状况分析
近几年来随着行业政策和市场需求的推动,金融行业已经开始尝试服务互联网化,普通业务以及更深层次的业务也会逐渐互联网化,逐渐促进整个金融行业向互联网全面迁移。由于金融业多金的本质,各类不法分子一直对这个行业虎视眈眈;一些内部从业人员,也会因为利益的驱使,放下道德底线,从内部窃取数据,导致安全堡垒从内部被攻破,内外安全问题集中,使得金融业的安全更加危机四伏。金融行业多年沉淀的边界安全防御机制应面对互联网带来的新问题往往显得力不从心。
安华金和本次将金融行业安全漏洞进行了细分,以银行、保险、互联网金融、金融机构(包括证券、基金、期货、支付和与金融相关的其他机构)四类进行漏洞划分。近三个月时间在乌云已经确认的金融行业206个漏洞中,其中银行42个,保险和互联网金融各47个,其余来自证券、基金、期货、支付等金融机构。平均每月各细分领域曝出的漏洞在10个到20个之间。
月 金融细分行业漏洞分布
金融机构由于包含业务种类繁多,漏洞数量最高、新兴互联网金融,由于对业务的追赶速度和要求远高于安全需求,虽然业务发展不长,但暴露的安全数量和威胁却名列前茅。截至2015年11月底,全国范围内近100家互联网金融平台被爆出存在漏洞。
金融数据泄露原因分析
安华金和通过对大量金融行业安全漏洞进行统计分析,发现SQL注入依然是金融业最大威胁。命令执行(框架漏洞)紧随其后占据了13%的比例。而其中越权类漏洞数量占比明显高于其他行业。
月 金融行业安全漏洞类型
按照各行业深入探查不难发现:
1.银行行业中民营银行安全漏洞数量明显高于国有银行。
2.金融业漏洞威胁大,高危漏洞占到总漏洞数的94.56%
3.银行的APP业务成为隐含漏洞的重灾区
4.应用系统权限绕过漏洞五花八门
5.虽然有WAF,但SQl注入依然强劲。
整个金融行业中漏洞种类最全的就是互联网金融。下面我们着重介绍一下互联网金融业中的漏洞。
互联网金融安全漏洞类型
互联网金融业的漏洞数量虽然不是最多,但种类最全,分布也较为平衡。因为简单易用,用户对互联网金融的接受度普遍比较高。从各种宝到名目繁杂的P2P,互联网金融是金融业界的新宠儿。但由于该行业缺乏严格的政策管理和代码审计,业务发展的速度又远超安全可提供的支撑能力,前台代码质量较低,导致出现大量设计、SQL注入、跨站脚本攻击;从业人员安全意识低,管理不到位,导致出现大量弱口令、框架漏洞、配置错误、敏感信息泄露;软件更新缓慢,导致框架错误。
其中最为严重的是系统设计逻辑安全威胁。这些设计错误多体现在失败的权限约束上,形成一系列越权漏洞和SQL注入。越权本质并不复杂,例如平行越权查询、平行越权修改、垂直越权操作、批量注册、人以用户密码修改、密码暴力破解、平行越权下载、身份伪造漏洞、退出功能失效、任意邮箱注册漏洞、邮箱激活功能漏洞、刷积分漏洞、邀请码暴力破解、一号多户问题等等。
其中越权类查询在设计错误中占到了29%左右。举个简单的例子比如A用户的订单是111。B用户的订单号是112。A原本不能查询B的订单,但A用户可以通过修改订单号来越权查询B的订单,这就是一个平行越权漏洞。这类问题主要就是程序代码自身逻辑错误导致。这和很多互联网过度注重扩展速度,不关注自身安全的行为很相似,需要加强代码审计来规避这种风险。
例如乌云上爆出的 wuyun-漏洞是一个标准的因为设计权限导致可充值任意用户密码的漏洞。按照流程在网站上注册一个用户,选择忘记密码。去邮箱打开链接。重新和确认密码。点击发送,劫持客户端的包。
在包中把当前用户名替换成目标用户名再发,达到修改目标用户密码的目的。至此入侵者获得一组被人的账号,为入侵者可进一步实施入侵奠定基础。
面对SQL注入虽然有WAF的辅助,但WAF难免有关键字过滤不到的时候。于是在金融业界出现了大量的SQL注入漏洞。由于WAF采用的是正则匹配的方式,于是出现了以下3种常见绕过WAF的手段:
(1)编码绕过
在大小写绕过的基础上开始出现编码绕过,主要出现了三种:URL编码、十六进制编码、Unicode编码。在中输入URL会进行一次URL编码,会通过多次编码来进行WAF绕过,例如:Id.php?id=1%2520union/**/select ,数据库得到的Id.php?id=1 union/**/select。如果只解码一次得到的是Id.php?id=1%20union/**/select,很有可能绕过WAF入侵数据库。针对这一问题可以采用多次循环解码来应对。其中Unicode编码种类很多,如果只是基于黑名单过滤,无法处理全部情况,其中UTF-32曾经实现过对的绕过。
(2)注释绕过
不但可以采用编码改写关键字,还可以采用注释改写关键字,避免正则匹配。例如z.com/index.php?page_id=-15 %55nION/**/%53ElecT 1,2,3,4 'union%a0select pass from users# 。就是用符号编码代替一部分字母和判定的空格来逃避正则匹配。(selectxxx不会被拦截,因为可能是函数名等。select 空格xxx则一定会被拦截,去掉空格成为绕过的关键)。同样还有针对版本的/*!5000union*/系列。
(3)等价替换
等价替换是个比较大的分类,主要可以分为等价函数、等价符号、特殊符号、比较符号等4类。
等价函数,就是同功能函数替换。WAF禁止了一些函数,但对另外一些函数没有禁止例如 Substring()可以用mid(),substr()这些函数来替换。还将可以采用生僻函数迂回完成原函数的功能,进行WAF关键字绕过。and or 这种关键字在PHP中可以用|| 和&&代替。于是语句id=1 or 1=1就可以写成id=1 || 1=来进行绕过。同样!= 、&、&等代替等号进行绕过。
除去绕过关键字和关键符号外,最关键的是绕过空格。想各种方式避免空格出现。
例如 原句 id=1 or 1=1
可以写成 id=1+or+1=1
id=1%0bor%0b1=1
id=1--s%0aor--s%0a1=1
id=1/*!or*/1=1
id=1()or(1=1) 等多种形式进行尝试绕过
金融行业漏洞入侵防御建议
金融行业除去人为因素造成的漏洞外,最主要的两大类漏洞分别是SQL注入和程序逻辑错误。
1.解决人为因素
人为因素会造成弱口令、错误配置等。人为因素只能从人的角度进行规范。通过加强安全团队建设、人员安全意识培训等方式应该可以解决人为因素造成的问题。
2.解决SQL注入
SQL注入是金融行业数据安全面临的最大威胁。只依赖WAF不足以完全保障程序免收SQL注入的困扰。这是由于WAF擅长解析过滤http协议,不能对SQL进行解析过滤。针对这个缺陷,可以在WEB应用和数据库之间加入数据库进行SQL部分的解析和过滤。数据库防火墙对从WEB应用发向数据库的SQL语句进行语法解析,可以理解SQL语句的真实,并做以下四点判断:
1. 语句是否含有明显的SQL注入特征;
2. 语句访问的对象是否属于该用户访问权限;
3. 语句的关键谓词是否被禁用;
4. 限制语句的返回行数,把危险控制在最低限。
加入数据库防火墙后,数据库防火墙会在WEB应用和数据库之间获取WEB应用发送给数据库的SQL语句。通过拿到的SQL语句,按照不同数据库进行SQL协议解析,通过协议解析把应用发送的SQL语句还原成标准模式(去掉各种加入的符号,转译码等),防止黑客利用上述绕过WAF的手法绕过数据库防火墙进行SQL注入。
首先还原后的SQL语句和黑名单中的禁止语句结构进行匹配,如果认为是威胁语句,则禁止该语句发送到数据库端,并通过发送短信、邮件等方式及时通知管理员进行处理;语句结构判断没有问题后防火墙接下来会对语句中的操作对象和谓词进行判断,如果对象或谓词有控制,则依旧禁止该语句发送到数据库端;最后即便规则全部符合,SQL语句被发送到数据库端,数据库防火墙还可以通过行数控制来限制数据库每次的返回行数把威胁减到最小。
3.解决程序逻辑错误
程序逻辑错误主要指每个用户权限的划分时存在逻辑问题。这需要对业务系统中逻辑错误进行代码修改,并加强关键部分的逻辑防守。特别需要注意加强防守的功能点有购物车、支付功能、提现功能、用户数据查询、据查询、API接口、密码设置/重置等。同时要注重重要业务系统的、遵循安全开发最佳实践、对密码本身进行可靠的(数据库中只存储加盐的HASH而不是密码本身)、使用加密的传输协议。
安全其实就是这样一种形态,平时不出状况看不到安全的效果,一旦爆发数据泄露事件,无论对于企业还是用户本身,甚至国家信息安全,其损失不可估量。业务在发展,安全领域攻与防的对抗将长期持续。
金融行业安全漏洞列表(近三个月)
建设银行多功能电子回单系统终端绕过
互联网金融
绿麻雀p2p网贷系统两处sql注入
广州银行android客户端应用配置可绕过自签名验证
互联网金融
某P2P网贷系统前台getshell与任意文件删除漏洞(可涉及大量资金安全)
互联网金融
尚贷p2p网贷系统前台getshell+两处sql注入(无视任何防御/无需登录)
互联网金融
融天下网贷系统 5处sql注入打包。(可涉及大量资金安全)
保险安全之中国人寿某省公司又一处越权漏洞可导致所有员工姓名、手机等敏感信息
&中银保险某系统问题已shell可内网
互联网金融
好贷网上传Getshell导致总站+所有子站失守
万银财富某交易登录存在漏洞导致getshell泄漏大量信息可内网
上海国际信托有限公司某漏洞可入内网和访问内部系统
泛华保险某站存在SQL注入
安徽某银行重要系统设计缺陷存在爆破风险(后台涉及资金等敏感操作)
POS机行业巨头某支付漏洞(泄露上万商户信息/上亿资金流水/深入内网影响多个系统)
青岛支付巨头存在SQL注射漏洞(可泄露上万青岛用户详细信息/随意伪造金额充值卡片/刷遍青岛)
&金融安全之天津股权交易所SQL注入可Union(1万多名会员密码明文存储/161私募基金信息/可重置管理员账号)
保险安全之中国人寿某省一处SQL注入漏洞可导致十几万理赔信息/数万员工信息泄漏泄漏
中国人寿北京分公司某处命令执行导致getshell泄漏大量信息可内网
太平保险公司设计不当可泄露大量客户保单信息
富邦财险某系统SQL注入(16个敏感库设计14000+数据表)
天安保险某系统存在任意文件上传&目录遍历漏洞
永安保险某保险卡站点设计不当存在任意文件下载漏洞
安徽某银行系统官网主站存在POST型SQL注入导致敏感数据泄露(已登录部分会员账户)
&锦泰保险官网存在越权访问漏洞可致车辆及车主信息泄露
天安保险某系统存在任意文件读取漏洞(疑似某通用理赔管理系统)
金融安全之江苏股权交易中心SQL注入(涉及管理员账号/336家公司基金信息)
&徽商银行邮箱系统可暴力破解并且存在大量弱口令账户
&银联商务某站存在SQL注入(涉及13库)
中国人保财险某站存在任意文件读取漏洞
华鑫证券某站后台弱口令可getshell
POS机行业巨头第二发(依然泄露上万商户/配套大量系统/大量交易详情/ROOT又入内网)
开源证券股份有限公司某站点任意文件下载到getshell
泰山保险某处配置不当导致getshell泄漏几十万保单等信息内网多台机器可渗透
上海股权托管交易中心综合金融服务平台任意文件下载(整站源码下载)
广东南粤银行某商户平台配置不当导致getshell中国银行某分行躺枪
国元投资某系统多处漏洞导致getshell内网多台机器(绕过上传限制)
&新时代证券人力系统泄露员工简历信息/考勤打卡/家庭背景/身份证信息等
温州贷APP任意用户密码重置漏洞+支付密码重置
新浪金融旗下微钱包内部敏感信息泄漏
中英人寿保险有限公司某系统存在sql注入漏洞(js请求分析)
南方联合产权交易中心SQL注入(泄露管理员账号密码/会员账号密码/2千多托管企业项目信息)
国金证券账户体系控制不严可访问内网系统
互联网金融
贷齐乐p2p系统存在任意命令执行漏洞
贷齐乐p2p全局问题多处注入(无视gpc/waf)
平安保险分站存在sql注入
内蒙古某银行主站SQL注入(DBA权限&23库大量表)
安徽某银行官网POST型SQL注入导致可泄露敏感信息(DBA权限)
同花顺爱基金客户端之账户绑定银行卡信息越权查询
平安银行安全控件远程代码执行(附演示视频)
众禄基金Android客户端存在越权查看账户交易信息和银行卡绑定信息漏洞
互联网金融
Dswjcms p2p网贷系统前台4处sql注入
东方证券旗下某站后台弱口令导致Getshell
好利网P2P理财投资平台SQL注入漏洞
南京银行网银助手可导致远程代码执行
内蒙古某地区银行系统安全隐患导致高危信息泄露(全市所有分行员工手机号/邮箱/住址/运钞车作息时间等等)
某省保险协会某系统大量敏感信息泄露(涉及几十个保险公司/手机邮箱/红头文件/财务报表等
中邮证券某系统安全隐患导致大量敏感信息泄露(所有员工手机/邮箱/内部敏感文件等等)
三个农商行一些漏洞打包
华融证券某分站敏感信息泄露导致进入后台(疑似可替换客户端软件)
中银消费某系统多个账户弱口令(涉及大量内部敏感信息)
中信银行某两站漏洞打包(弱口令/struts2/sql注入)
互联网金融
好贷网某站隐蔽SQL注入涉及一百多个表
证券安全之华融证券文件读取+商户信息泄露
国海证券某系统存在任意文件上传漏洞已Shell
中信证券(山东)某站点SQL注入到内网渗透(引发大量信息泄露)
中国人寿某站存在resin目录遍历漏洞导致内部多数据库信息泄露
国海证券某系统Getshell可影响内网安全(任意上传/大量敏感信息泄露等等)
国联证券某站系统漏洞导致获取管理账户密码已入后台
中信证券某系统弱口令及SQL注入
吉祥人寿保险某站存在SQL注入漏洞
互联网金融
p2p之玖富某重要系统设计缺陷可重置任意账户密码可导致用户大量信息泄漏
互联网金融
连连银通漏洞一枚(mail系统+Kibana系统+金眼追踪系统)
浙商保险某系统运维修复不当导致大量保单资料泄漏
安华保险内部OA系统struts2命令执行漏洞(影响内网安全)
中航证券某站存在远程命令执行漏洞(可Getshell获取数据库信息)
多家地方银行网上银行助手缺陷可导致远程代码执行
互联网金融
帝友P2P借货系统某处文件设计缺陷可注入(任意登录/修改密码)
银联商务某关键业务GETSHELL
证券安全之世纪证券Getshell可造成478175数据泄露
国元证券某系统上传漏洞导致GETSHELL(Admin权限可进一步内网渗透)
华创证券某重要系统SQL注入
互联网金融
借贷宝自动化测试平台未授权访问getshell可入其他公司内网
互联网金融
东方融资网存在SQL注入漏洞 (DBA权限、17个数据库、10万笔会员、可GETSHELL)
中国人保寿险某系统配置不当getshell(可进一步内网渗透)
证券安全之民生证券内部系统信息泄露
中国人保财险分公司某系统泄露敏感信息
互联网金融
好贷网APP存在SQL注入漏洞
互联网金融
&91金融安卓APP客户端升级过程存在缺陷可被中间人攻击利用植入木马
中国人寿某医生信息管理系统weblogic弱口令
互联网金融
好贷网APP可绕过登陆任意用户(查看其借贷单据并执行操作)
某地银行系统存在高危SQL注入漏洞
互联网金融
好贷网可越权访问所有信贷经理的所有订单及客户信息(包括姓名、手机、借贷金额、房产等)
民生信托报表系统弱口令getshell泄漏交易记录/姓名/手机等敏感信息
邮储银行Android客户端设计缺陷可能导致客户端用户密码泄漏
泰康人寿某系统存在sql注射漏洞
合众财产保险多网站存在命令执行漏洞可Getshell影响内网安全
泰康人寿某重要站点存在SQL注入漏洞(涉及29库上千表)
中信证券某站XSS漏洞可打到后台
互联网金融
好贷网APP多处SQL注入漏洞
互联网金融
易宝支付某系统SQL注入漏洞
互联网金融
好贷网注入绕过一枚(可union)
招商银行某分站后台弱口令(涉及37000+用户)
南方基金某系统从弱口令到getshell可威胁内网
中国人寿某内部管理平台后台管理弱口令涉及数万保险客户信息
太平洋保险某系统存在任意文件上传漏洞可威胁内网
西南证券某系统大量页面未授权访问导致进后台上传可威胁内网
可用最简单的办法进入吉林银行内网
某寿险业务系统存在通用型SQL注射漏洞(泰康/民生等)
互联网金融
&好贷网某重要系统任意密码重置漏洞可影响账户资金安全(官方账号演示)
互联网金融
环迅支付某重要业务存在任意用户密码重置(演示)
金融安全之长沙银行某站点配置不当导致Getshell(威胁内网安全)
天治基金某系统弱口令Getshell可泄漏大量信息内网40多台机器可继续渗透
泛华保险某站存在多处OR延时注入(DBA权限+涉及19个users)
东海证券某系统存在任意文件上传漏洞可威胁内网
中国太平批量保单可爆破泄露
工商银行某站存在SQL注入
湖北某农商行门户漏洞打包及shell一枚
交通银行某站SQL注入一枚
中航证券某系统2枚SQL注入及弱口令导致敏感信息泄露(时间盲注/DBA/员工手机邮箱/内部文件等等)
中银国际证券某重要站点多处存在SQL注入(DBA权限+导致数据泄露)
华创证券某重要系统设计缺陷可重置任意账户密码危急用户资金安全
江苏银行可查询用户银行卡号及余额等信息
互联网金融
&添米理财信息泄露(可操作2亿金额)
互联网金融
&帝友P2P借贷系统无需登录SQL注入漏洞(版本限制/附100+案例证明)
&长江证券某重要系统弱口令导致Getshell(可影响五个平台安全)
柳州银行主站某处sql注射 /dba权限/发现前人痕迹
互联网金融
好贷网官网APP存在SQL注入漏洞(含130万借贷用户数据)
互联网金融
p2p安全之美尔雅期货存在任意文件上传已Getshell
中国太平保险集团某业务系统中间件弱口令getshell
永诚保险理赔系统存在命令执行漏洞导致Getshell
农业银行某业务存在SQL注入
华夏银行某站点存在SQL注入(可os-shell)
富德生命人寿某处任意密码重置
互联网金融
某人寿保险商城系统通用SQL注入漏洞
浙江某银行系统官网SQL注入泄露大量敏感数据(可绕过WAF)
天津农商银行招聘网存在SQL注入/泄露用户信息(安全狗无效)
中国平安保险(集团)股份有限公司上万用户敏感信息泄漏(含车牌号,车主,车架号,地址,电话)
永安保险某管理系统配置不当导致getshell
金融安全之银河期货SQL注入\SVN配置不当以及heartbleed漏洞集合
互联网金融
P2P安全之向上金服某站SQL注入(涉及近380W用户信息)
华泰人寿某站基础服务弱口令GETSHELL
华泰证券某分站getshell
华泰保险重要系统配置不当导致getshell(泄露大量用户数据/影响内网安全)
安邦保险某系统存在任意文件上传漏洞Getshell可威胁内网
易方达基金某站任意文件遍历(可读/etc/shadow
互联网金融
P2P安全之新新贷主站任意密码重置(为例)
互联网金融
P2P安全之新新贷某站命令执行可shell导致大量数据泄露
互联网金融
&p2p安全之E租宝存在注入漏洞
余杭农村银行某系统SQL注入漏洞
互联网金融
广信贷设置不当导致重置任意用户登录密码和交易密码(影响用户资金安全)
互联网金融
&好贷网主站某处绕过SQL注入(附验证脚本)
互联网金融
&P2P安全之芝麻金融存在SQL注入漏洞
互联网金融
太平洋证券某系统设计缺陷导致多个系统沦陷
互联网金融
&安平贷p2p网贷平台任意用户密码重置漏洞
河南某银行官网SQL注入泄露大量敏感数据(可绕过WAF)
海通证券主站SQL注入导致敏感数据泄露(DBA权限)
太平洋财产保险某站存在命令执行漏洞导致Getshell(数据库信息泄露/影响内网安全/应聘简历泄露)
投资安全之中民投某处弱口令泄露信息再到账号体系控制不严(影响内网安全\全体人员信息\高管信息\内部数据\多个核心系统)
太平洋证券某系统存在上传漏洞
&河南某银行系统网站SQL注入造成大量敏感信息泄露(可绕过WAF/87库)
互联网金融
&P2P理财投资平台安全之乐投贷存在SQL注入(涉及15万用户账号密码,支付密码,姓名及银行卡号等信息)
互联网金融
安平贷后主站后台弱口令Getshell
&华泰电话车险任意命令执行导致Getshell
互联网金融
宜信贷某站存在OpenSSL漏洞(心脏滴血)
期货安全之中国国际期货多站漏洞SQL注入&任意文件上传&弱口令导致内网漫游(从全部员工信息到用户信息告急\可提现)
期货安全之浙商期货多系统多处SQL注入&任意文件遍历\上传导致内网小漫游(涉及全员工账号密码\发现2013年多种后门)
某市农商银行主站SQL注入(unicode编码绕过360防护)
民安财产保险有限公司Getshell泄露超过500G数据库文件
期货安全之海通期货某站多处SQL注入&任意文件上传导致内网小漫游(涉及全员工账号密码\内部邮件等敏感信息)
中国人寿某业务SQL注入绕过涉及上万企业账号密码
期货安全之美尔雅期货多站漏洞SQL注入&两站Getshell(涉及全员工账户信息\已到内网交换机)
&期货安全之上海中期期货某站漏洞SQL注入&任意文件上传Getshell(涉及全部员工详细个人信息\账号\组织架构\内外部运营信息等)
&期货安全之中航期货主站SQL两处SQL注入/XSS/物理路径泄露
&期货安全之中辉期货多站多处SQL注入漏洞(涉及全员工账户信息\组织架构等)
期货安全之弘业期货多站漏洞SQL注入&Bash破壳命令执行影响内网安全
期货安全之东海期货主站某漏洞获取系统Admin权限(涉及用户数据\影响内网安全)
期货安全之国元期货某站多处SQL注入&任意文件上传Getshell(涉及全员工账户信息\影响内网安全)
中国人民银行 某省分行某系统弱口令(涉及七万六千人银行从业人员信息)
&期货安全之国投中谷期货多站漏洞SQL注入&任意文件遍历&内部系统弱口令(涉及6组数据库配置\内部组织架构等)
兴业银行某站点Struts2修复不当造成命令执行
期货安全之万达期货某系统漏洞导致全部员工账户信息可泄露(影响其他系统\涉及内外部运营数据\组织架构等)
中信银行某站点后台弱口令导致Getshell(数据库信息泄露/影响内网安全)
中信银行信用卡申请页面XSS漏洞可导致执行任意JS代码
期货安全之中信期货某处漏洞导致内部敏感信息可泄露(涉及全员工\内部运营等信息)
&平安保险某处SQL注入
互联网金融
P2P理财安全之网利宝某处数据库配置信息泄露(大量数据)
光大银行某分行OA系统弱口令可渗透内网
安徽某地农商银行漏洞打包可威胁内网(文件上传、UNION注入)
互联网金融
上海汇付金融公司WWW主站SQL注入(DBA权限)
互联网金融
好贷网主站存在存在SQL注入(需绕过)
互联网金融
P2P安全之网利宝某处信息配置不当造成大量敏感信息泄露
&民安财产保险弱口令导致Getshell入内网
民安财产保险某站配置不当导致Getshell(泄露投保人身份证\电话\保单金额明细等)
中国人寿官网用户信息大量泄漏
互联网金融
好利网APP越权登录任意用户+越权获取全站几十万用户信息(密码md5\手机号\身份证\姓名\账户余额\银行卡)
互联网金融
久玖支付某业务系统漏洞( 涉及上万商户信息/日3亿交易流水/大量内部配置信息泄露)
互联网金融
某人寿保险商城系统通用SQL注入漏洞之二
中国保险监督管理委员会SQL注射一枚(影响全国分之机构)
汇付天下某站点存在命令执行漏洞( 影响内网安全)
某省农业厅OA系统后台弱口令+post注入 (有泄露领导信息哦)
互联网金融
联汇通宝某系统SQL注入(涉及4000商户/营业执照/身份证/银行卡/验证码等信息)
华安财产保险某站配置不当导致Getshell影响内网
中信银行5处XSS跨站合集
中信银行某系统struts2命令执行修复不当(root权限)
天天盈基金某服务器weblogic java rce命令执行
平安银行微信公众号源码泄露可连测试数据库
[ 责任编辑:包俊君 ]
比特网 17:58:32
从《中国互联网+指数报告(2018)》看数字经济
“互联网+”的这些新变化,你知道吗?
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
