央行将系统安全作为支付平台的评价标准之一
- 时间:
- 浏览:112
- 来源:易万佳
今年4月,央行发布了《非银行支付机构分类评级管理办法》,系统安全被列为基本评价指标,占比15%,为第三大考量因素。易万佳店铺转让网指出,第三方支付的安全应该引起足够的重视,因为安全意识的薄弱,是支付平台漏洞频发的主因之一。
据悉,乌云漏洞平台安全专家高朋告诉易万佳天猫店铺转让,第三方支付平台漏洞类型普遍,主要表现在中间件漏洞导致风险、网站设计逻辑问题及诈骗。第三方支付平台用于开发网站常见的通用组件有Struts2(开源框架第二代)、Weblogic(用于开发、集成、部署、管理大型分布式Web、网络、数据库应用的Java应用服务器)、JBoss(J2EE的开放源代码的应用服务器)。中间件的漏洞爆发会导致大批平台中枪,在第三方支付平台的安全隐患中,此类事件非常多见。
另一个支付平台的漏洞则暴露了平台在设计网站时,存在的逻辑漏洞。去年3月,乌云曝光了某平台大量合作商家订单信息可被泄露的高危漏洞。该平台相关合作商家的订单信息可被遍历,存在泄露风险。漏洞原因是订单编号设计过于简单,任何人可通过穷举方式查看他人的订单页面。该平台随后对漏洞确认,并评级为低。除了上述两种最常见的漏洞以外,也有信息保存不善导致的漏洞。
由于国内安全领域没有出现非常严重的漏洞事件,很多公司对安全并不重视,不是每个公司都有安全团队。安全意识的薄弱,是支付平台漏洞频发的根本原因之一。在首批支付牌照即将到期之时,央行将系统安全作为评价标准之一。在下一批牌照下发之前,或许给各支付公司敲响了警钟,支付安全也必须成为各平台关注的下一个修复重点。
猜你喜欢