瑞士 BPC 的银行支付系统存在 SQL 注入漏洞_申博太阳城娱乐_太阳城娱乐网址_太阳城线上官网

> 太阳城娱乐网址 > 关于优炫 > 公司动态 > 业界新闻 >

业界新闻

Industry News

瑞士 BPC 的银行支付系统存在 SQL 注入漏洞

2017-10-16
近期外媒称,安全公司 Rapid7 研究人员于今年 5 月发现瑞士 BPC 团队所创建的银行支付基础设施与管理系统 SmartVista 存在一处 SQL 注入漏洞,允许黑客侵入 SmartVista 前端的身份验证接口后窃取数据库敏感信息,其中包括用户账号与密码。不过,由于安全研究人员在上报该漏洞至 BPC 团队后至今尚未获得回应,因此他们于近期公开披露银行软件平台 SmartVista 易遭黑客 SQL 注入攻击。

美国 CERT 协调中心与瑞士证券交易委员会在漏洞公开披露后发布警示,宣称由于该攻击活动只能通过经身份验证的前端用户触发,因此攻击者可以通过该漏洞后入侵系统、窃取重要信息。

Rapid7 专家发现,对于访问 Transaction 接口的平台需要用户提供卡号、帐号,以及交易日期三个字段。然而,由于 SmartVista 前端缺乏输入验证,因此不会对交易模块中输入的卡号或帐号进行检测。


不过,卡号仅接受确切的字段以便提供输出。如果事先并不知道卡号,攻击者也可通过该字段启动 布尔型 SQL 注入。但倘若提供了正确的注入语句(如’或’1’=’1)时,数据库将延迟五秒,从而产生一个基于时间的 SQL 注入向量。此外,攻击者还可利用该漏洞强制查询数据库,从而导致访问信息在线暴露。

目前,上报该漏洞的安全机构建议使用 SmartVista 的企业安全更新系统至最新版本,同时应采用防火墙等举措保证信息数据安全,以便保护平台免受 SQL 注入攻击。

优炫下一代防火墙
Next Generation Firewall,简称NGF

优炫下一代防火墙是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,能够为用户提供有效的应用层一体化安全防护,帮助用户安全地开展业务并简化用户的网络安全架构。

优炫下一代防火墙集成了状态检测防火墙、远程接入、网关防病毒、反间谍软件、反垃圾邮件、入侵防御系统、内容与应用程序过滤、数据泄漏防护、即时通讯管理、带宽管理、多链路管理等多种安全防护功能,并可以提供优秀的处理能力。优炫下一代防火墙是一个可扩展的架构并支持 IPv6,满足用户对未来网络的安全需求。
内容来源:hackernews