央行将系统安全作为支付平台的评价标准之一

今年4月，央行发布了《非银行支付机构分类评级管理办法》，系统安全被列为基本评价指标，占比15%，为第三大考量因素。易万佳店铺转让网指出，第三方支付的安全应该引起足够的重视，因为安全意识的薄弱，是支付平台漏洞频发的主因之一。

据悉，乌云漏洞平台安全专家高朋告诉易万佳天猫店铺转让，第三方支付平台漏洞类型普遍，主要表现在中间件漏洞导致风险、网站设计逻辑问题及诈骗。第三方支付平台用于开发网站常见的通用组件有Struts2(开源框架第二代)、Weblogic(用于开发、集成、部署、管理大型分布式Web、网络、数据库应用的Java应用服务器)、JBoss(J2EE的开放源代码的应用服务器)。中间件的漏洞爆发会导致大批平台中枪，在第三方支付平台的安全隐患中，此类事件非常多见。

另一个支付平台的漏洞则暴露了平台在设计网站时，存在的逻辑漏洞。去年3月，乌云曝光了某平台大量合作商家订单信息可被泄露的高危漏洞。该平台相关合作商家的订单信息可被遍历，存在泄露风险。漏洞原因是订单编号设计过于简单，任何人可通过穷举方式查看他人的订单页面。该平台随后对漏洞确认，并评级为低。除了上述两种最常见的漏洞以外，也有信息保存不善导致的漏洞。

由于国内安全领域没有出现非常严重的漏洞事件，很多公司对安全并不重视，不是每个公司都有安全团队。安全意识的薄弱，是支付平台漏洞频发的根本原因之一。在首批支付牌照即将到期之时，央行将系统安全作为评价标准之一。在下一批牌照下发之前，或许给各支付公司敲响了警钟，支付安全也必须成为各平台关注的下一个修复重点。

猜你喜欢