首页>沃通新闻>沃通带您直击2017补天白帽大会

沃通带您直击2017补天白帽大会

3月30日,2017补天白帽大会在深圳举行,我国国家网络安全主管单位、中美三大白帽平台、上千精英白帽及安全爱好者、30多家企业SRC代表齐聚一堂,共同解读当前网络安全形势和安全威胁、分享攻防技术、探讨漏洞挖掘的法律界限及协同机制的建立。沃通参与此次大会,带您直击大会现场,关注前沿安全议题。

2017补天白帽大会1

支付安全

盘古团队对多家支付平台和商户客户端进行研究,分析并总结了主流的第三方支付模式,指出其中常见的支付安全问题。在主流的第三方支付流程中,任意一处网络传输被劫持,都可以导致支付劫持。商家客户端到服务器端之间或支付平台的客户端到服务器端之间,如果使用http或错误配置的https,就能实现中间人替换订单、欺骗用户,实现支付劫持。支付平台使用脆弱的1024位RSA加密算法及MD5签名算法、Client-Server交互未启用HTTPS加密(即使是输入支付口令的交互)、订单签名泄露Key,导致订单替换、仿冒支付平台通知、篡改订单等众多安全问题,可被用于实现任意金额支付订单或不支付购物成功。

2017补天白帽大会2

盘古团队已经扫描并发现数万应用泄露商务订单签名私钥,发现数百万用户级的应用可以在任意金额支付订单,发现数个应用可以不支付购物成功。盘古团队建议商家在集成第三方支付时在客户端到服务器端之间的交互必须使用服务器SSL证书,实现HTTPS加密传输。

2017补天白帽大会3

无线安全

360独角兽安全攻防团队带来的无线攻击分析,让人大开眼界。当我们想到黑客攻击时,总认为黑客是用各种酷炫技术攻破企业防御体系进而获取敏感信息。而事实上,企业安全的脆弱缺口比我们想象的要多得多,黑客完全可以绕过牢固的防御体系直达企业内部,WiFi安全就是其中一大隐患。企业员工私接路由器或随身WiFi并使用弱口令,一旦被黑客破解,即可接入企业局域网。

2017补天白帽大会4

又或者黑客在企业办公场所附近搭建钓鱼WiFi,伪造企业WiFi热点引诱员工连接,如果企业邮箱、VPN等关键系统采用http明文传输,黑客就可以轻松获取企业内网登录信息,进而入侵企业内网为所欲为。企业WiFi缺乏认证机制,员工无法判断WiFi真实性,也是黑客得以伪造WiFi实现钓鱼攻击的重要原因。

2017补天白帽大会5

DEFCON Groups全球协调人Jayson E Street也认为,如果要在20分钟内给企业5条安全建议,注意WiFi安全是其中特别重要的一件事。

2017补天白帽大会6

此外,无线攻击还可以实现:NFC闪付卡漏洞让黑客轻松扫描你的银行卡读取个人信息;企业门禁卡复制及撞库;GPS欺骗可以让导航带你到错误的目的地;恶意充电站通过USB充电接口获取手机内的个人信息;地理位置欺骗可以让无人机进入禁飞区或在正常飞行区坠落;LTE信令漏洞可以实现电话拦截及短信拦截,在受害人毫无察觉的情况下放行普通短信、拦截银行验证码等关键短信。

网站安全

补天平台精英白帽华不再扬带来的Web攻防安全议题中提到一组数字,2016年360网站安全检测平台共扫描各类网站197.9万个,其中存在漏洞的网站91.7万个,存在高危漏洞的网站14万个。每年因为黑客攻击导致的企业损失超过数千亿美元,70%以上的企业服务器没有基本的安全防护,只有9%的黑客攻击被发现。地下黑产已经形成了非常完善的产业链,黑产合作甚至超过企业。华不再扬形象地说,黑客已经进入信息时代,而防守方还停留在农业社会。

2017补天白帽大会7

总结

未来企业面临的挑战将越来越严峻,企业安全人员需要及时关注前沿安全技术、更新升级基础安全防御机制。沃通SSL证书保护网络传输安全,验证服务器身份,让所有机密数据加密传输到正确的服务器上,防止中间人攻击、防止虚假服务器仿冒,这是任意安全场景下都应该实现的基础安全措施。