取消
普通评论
普通评论

消费金融3个特点和4挑战 银行如何差异化突围

韩希宇中国电子银行网2017-03-24 09:33
银行 消费金融 信息安全

  中国电子银行网讯 国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞193个,互联网上出现“NETGEARDGN2200任意命令执行漏洞、Joomla com_news组件'id'参数SQL注入漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻,并特约中国金融认证中心(CFCA)信息安全专家对漏洞风险作出点评和建议。

  支付清算协会:关于国内消费金融的3个特点、4挑战和4个建议

消费金融3个特点和4挑战 银行如何差异化突围

  除了银行和消费金融公司这类传统持牌机构,电商、P2P网贷、分期购物平台等机构纷纷推出消费金融产品,如蚂蚁花呗、京东白条、微粒贷、分期乐等。这类机构创新性强,注重客户体验和服务效率,通过自身各具特色的生态体系及业务场景,细分市场,针对特定群体深耕细作,覆盖了大量消费者,成为消费金融市场最活跃的参与者。>>详细

  首例微信红包外挂案告破 涉案资金近三千万

消费金融3个特点和4挑战 银行如何差异化突围

  这个软件未受腾讯公司授权,它可以实时拦截微信客户端与服务器之间的传输数据,对微信客户端读取服务器回包数据进行读取、修改,进而实现自动抢红包、透视红包等相关作弊功能。这类软件会窃取用户信息,甚至能将账户内的钱转走,安全隐患非常大。>>详细

  50亿条公民信息泄漏案后续 京东称涉事员工处于试用期

消费金融3个特点和4挑战 银行如何差异化突围

  郑某鹏在加入京东之前曾在国内多家知名互联网公司工作,其长期与盗卖个人信息的犯罪团队合作,将从所供职公司盗取的个人信息数据进行交换,并通过各种方式在互联网上贩卖。>>详细

  美国支付巨头Verifone遭遇网络攻击

消费金融3个特点和4挑战 银行如何差异化突围

  从邮件内容可以看出,Verifone的员工不能在公司手提电脑和PC上安装任何软件。这就表明,这起入侵事件可能因下载恶意软件所致。在Verifone发送上述电子邮件的前几天,信用卡公司Mastercard和Visa向Verifone通知了这起事件。>>详细

  《阿里聚安全2016年报》发布

消费金融3个特点和4挑战 银行如何差异化突围

  常用移动欺诈通过机刷、模拟器、改机工具等手段作弊,如通过一键生成改机软件修改手机硬件参数IMEI、MAC、蓝牙地址等,伪造新手机多次安装激活App;通过脚本批量操作各种安卓模拟器如天天模拟器、海马玩模拟器、夜神模拟器等,反复进行机刷-App安装-App激活等操作。>>详细

  澳大利亚着手出台《数据泄露通报制度》敦促安全建设

消费金融3个特点和4挑战 银行如何差异化突围

  美国国防部对国内诸如银行及医疗卫生等部门实施的举措就非常值得借鉴。其对私营行业及其承包与采购商发布了一系列与安全违规通报相关的规则与条例,同时建立起合作与志愿项目,包括:国防工业基础网络安全计划(简称DIB-CS);银行FS-ISAC以及医疗卫生NH-ISAC等,旨在实现公共与私营部门各参与者间的合作伙伴关系。>>详细

  索尼推出基于Felica技术HCE非接支付应用

消费金融3个特点和4挑战 银行如何差异化突围

  安卓HCE模式下能够支持Type A、B、C在内的所有CPU卡,唯独不支持不是CPU卡的Mifare卡。所以,Type C类型的Felica卡实际上也是CPU卡,因此支持HCE模式也是比较好理解的。>>详细

  安全漏洞周报

  上周漏洞基本情况

  上周信息安全漏洞威胁整体评价级别为高。

  上周共收集、整理信息安全漏洞193个,其中高危漏洞82个、中危漏洞100个、低危漏洞11个。漏洞平均分值为6.5。本周收录的漏洞中,涉及0day漏洞73个(占38%)。其中互联网上出现“NETGEARDGN2200任意命令执行漏洞、Joomla com_news组件'id'参数SQL注入漏洞”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  1、Apache Struts2存在S2-045远程代码执行漏洞

  Apache Struts是一款用于创建企业级Java Web应用的开源框架。上周,该产品被披露存在S2-045远程代码执行漏洞,攻击者可利用漏洞直接取得网站服务器控制权。

  相关漏洞包括:Apache Struts2存在S2-045远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  2、Apple产品安全漏洞

  Apple macOS Sierra是美国苹果公司为Mac计算机所开发的一套专用操作系统。Apple iOS是一套为移动设备所开发的操作系统。watchOS是一套智能手表操作系统。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息、进行跨站脚本攻击或执行任意代码等。

  相关漏洞包括:Apple macOSSierra libxpc组件沙盒绕过漏洞、Apple iOSWebKit组件跨站脚本漏洞、AppleiOS/macOS拒绝服务漏洞、Apple iOS Clipboard组件信息泄露漏洞、Apple iOSWebSheet组件沙盒绕过漏洞、Apple macOS本地信息泄露漏洞、Apple macOS 任意代码执行漏洞(CNVD-2017-02450、CNVD-2017-02451)。

  其中,“Apple iOSWebSheet组件沙盒绕过漏洞、Apple macOS任意代码执行漏洞(CNVD-2017-02450)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  3、IBM产品安全漏洞

  IBM Tivoli SystemAutomation for Multiplatforms是美国IBM公司的一套集群解决方案。IBM ContentNavigator是一款Web客户机,IBM WebSphere MQ是一款消息传递中间件产品。IBM PowerKVM是一套开放式虚拟化解决方案。IBM TivoliStorage Manager Server是一套存储管理软件解决方案。IBM Jazz for ServiceManagement在整合服务管理和一些关键领域的第三方产品提供了增强的解决方案。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞进行跨站脚本攻击、提升本地权限、执行任意代码或发起拒绝服务攻击等。

  相关漏洞包括:IBM TivoliSystem Automation for Multiplatforms本地权限提升漏洞、IBM ContentNavigator跨站脚本漏洞(CNVD-2017-02624)、IBM WebSphere MQ拒绝服务漏洞(CNVD-2017-02626、CNVD-2017-02480)、IBM PowerKVM命令执行漏洞、IBM TivoliStorage Manager Server缓冲区溢出漏洞、IBM WebSphere MQ数据转换拒绝服务漏洞、IBM Jazz forService Management 跨站请求伪造漏洞。其中,“IBM Tivoli SystemAutomation for Multiplatforms本地权限提升漏洞、IBM PowerKVM命令执行漏洞、IBM TivoliStorage Manager Server缓冲区溢出漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  4、Linux产品安全漏洞

  Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。上周,该产品被披露存在权限获取和拒绝服务漏洞,攻击者可利用漏洞执行任意代码。相关漏洞包括:Linux kernel权限获取漏洞(CNVD-2017-02608)、Linux kernel本地拒绝服务漏洞(CNVD-2017-02609、CNVD-2017-02605、CNVD-2017-02606、CNVD-2017-02607、CNVD-2017-02604、CNVD-2017-02602)、Linux kernel拒绝服务漏洞(CNVD-2017-02483)。其中,“Linux kernel权限获取漏洞(CNVD-2017-02608)、Linux kernel本地拒绝服务漏洞(CNVD-2017-02606)”的综合评级为“高危”。目前,除“Linux kernel本地拒绝服务漏洞(CNVD-2017-02606)”外,剩余漏洞已经发布了相应的修补程序。在此,提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

  5、多款D-Link DGS-1510 Websmart设备安全绕过漏洞

  D-Link DGS-1510-28XMP是友讯(D-Link)公司的以太网交换机。上周,D-Link被披露存在安全绕过漏洞,攻击者可利用该漏洞提交特殊的请求,进行未授权的命令执行。目前,厂商尚未发布该漏洞的修补程序。在此,提醒广大用户随时关注厂商主页,以获取最新版本。

  专家点评和建议

  中国电子银行网特约中国金融认证中心(CFCA)信息安全专家,对漏洞风险作出如下小结:上周,Apache Struts2被披露存在S2-045远程代码执行漏洞,攻击者可利用漏洞直接取得网站服务器控制权。此外,Apple、IBM、Linux等多款产品被披露存在多个漏洞,攻击者利用漏洞可泄露敏感信息、进行跨站脚本攻击、执行任意代码或发起拒绝服务攻击等。另外,D-Link被披露存在安全绕过漏洞,攻击者可利用该漏洞提交特殊的请求,进行未授权的命令执行。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  (中国电子银行网综合中国支付清算协会网站、现代快报、新浪科技、E安全、中国网、移动支付网报道)

责任编辑:韩希宇

为你推荐

暂无相关推荐