为什么手机用户总能频繁接到骚扰电话，银行账户里的钱会莫名“蒸发”，一些P2P平台经常被黑客攻击导致系统瘫痪、数据被恶意篡改？这些疑问从企业级互联网安全测试平台、漏洞盒子发布的2015年上半年度金融行业互联网安全报告中，或许能找到部分答案。

　　相关报告显示，今年上半年金融行业(保险、银行、证券、互联网金融)安全漏洞总量同比增长181.9%，证券行业的安全漏洞增幅更是激增326.7%。“金融行业安全漏洞形势不容乐观”。

　　保险最多

　　互联网上数以万计的金融业安全漏洞，可以较为客观地反映一定时间内各金融细分行业的安全状态与威胁挑战。“因为增长幅度太惊人，今年上半年我们第一次推出专门针对金融行业的安全报告。”漏洞盒子COO谢忱向《金证券》记者介绍。

　　据了解，漏洞盒子安全研究团队对今年上半年全网1248个漏洞和133个安全事件进行仔细的整理和分析，发现金融行业(保险、银行、证券、互联网金融)漏洞总量较2014年增长181.9%。其中，保险业占金融行业中漏洞数比例最高，达到27.1%。方兴未艾的互联网金融以微弱劣势位居第二，比重占到26.1%。研究发现，截至2015年6月，全国范围内有近100家互联网金融平台被曝存在漏洞。漏洞数量之大，影响之广，实属罕见。

　　此外，银行漏洞数量占23.3%，证券行业占15.2%，其他占8.3%。

　　就漏洞类型而言，数据泄露、订单修改、密码重置等高危问题频繁出现。值得一提的是，逻辑漏洞和权限绕过问题成为数据泄露风险的主要诱因。前者包括支付漏洞、密码重置漏洞、访问控制漏洞；权限绕过包括越权操作和越权查看，如遍历查询和操作他人账户、订单等。此类问题往往与金融平台或APP应用具体业务关联较多。

　　而在漏洞威胁等级方面，整个金融行业高危漏洞占据63.3%，说明安全漏洞形势确实不容乐观。其中，互联网金融业高、中危级别的漏洞数量总和占比高达97.2%，这暴露出业务发展尤其迅猛的互联网金融业，产品及应用在安全开发实践方面存在较大欠缺。

　　泄密通病

　　以保险业而言，漏洞盒子团队统计今年上半年保险行业的互联网漏洞数据发现，全国约有上百家保险公司存在严重安全问题，中国人保、太平洋保险[微博]、中国人寿(25.44, 0.66, 2.66%)、合众人寿等诸多知名保险公司赫然在列。

　　权限绕过以及信息泄露成为保险行业应用系统的最大“通病”。谢忱向《金证券》记者介绍，统计中的过半企业存在越权查看保单信息、修改保单信息等；权限绕过可能导致遍历用户数据等严重问题，总计超过1000万的用户信息存泄露风险；订单操作方面的逻辑漏洞多次出现，SQL注入漏洞依然大面积存在。

　　比如，在某知名保险公司网站出现越权操作保单漏洞，由于个人账户详情页面权限检查不严，不仅可导致大量保单数据的泄露，恶意攻击者甚至可以删除其他用户的保险单。

　　银行业方面，网络系统存在漏洞的银行遍及全国各地，股份制商业银行安全漏洞明显高于国有银行，可能原因为在安全方面的投入差距，导致整体安全性结果上的差异。

　　漏洞盒子团队发现，目前银行业面临的信息泄露威胁较大，同时应用及系统中逻辑漏洞占比过高，安全问题已经开始出现于App应用上。而银行业中高危级别的漏洞占比最高，达到了68.6%。某银行甚至出现了任意卡号查询余额的严重漏洞；另一家银行APP后端则没有做严格的权限检查，导致可以越权查看任意卡号余额。

关注【叩富问财】服务号，关注后在对话框回复“互联网金融”，可获得关于互联网金融的最新热点、必学知识、视频讲解、一对一顾问讲解等服务。点击微信，一键关注