• 移动端
    访问手机端
    官微
    访问官微

    搜索
    取消
    温馨提示:
    敬爱的用户,您的浏览器版本过低,会导致页面浏览异常,建议您升级浏览器版本或更换其他浏览器打开。

    技术创新与监管完善驱动移动支付安全发展

    韩希宇 来源:中国电子银行网 2017-11-03 09:40:35 移动支付 安全 原创新闻
    韩希宇     来源:中国电子银行网     2017-11-03 09:40:35

    核心提示几年前,业内还在争论移动支付的技术标准、可用方案和发展前景;现在,HCE技术、条码技术的发展有效降低了移动支付应用门槛,支付标记化技术(Token)的应用提升了支付信息安全保障。

      国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞482个,互联网上出现“WordPress eventr SQL注入漏洞、GNOME libgedit.a文件拒绝服务漏洞”零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

      一周行业要闻速览

      FireEye在GitHub上开源密码破解工具GoCrack

    技术创新与监管完善驱动移动支付安全发展

      考虑到密码的敏感性,GoCrack 使用了授权系统,可防止用户访问任务数据,而一些敏感操作,如修改任务,查看破解密码,下载任务文件等都可以被记录下来,并供管理员审核。>>详细

      央行支付司司长谢众:“无卡”支付时代的几点监管意见

    技术创新与监管完善驱动移动支付安全发展

      无论形式如何纷繁复杂,无卡支付始终不会脱离交易发起、传输、清算、结算等核心环节,银行卡作为账户载体的本质和其背后成熟的产业基础优势依然存在。>>详细

      清华教授谢平:金融大数据基础完备 人工智能应用于金融监管远景宏大

    技术创新与监管完善驱动移动支付安全发展

      预警可能是人工智能在金融监管领域当中突破的第一个环节,当人工智能发现我们的金融机构出现风险征兆的时候,会主动预警、提醒。>>详细

      技术观澜

      软件安全构建成熟度模型演变与分析

    技术创新与监管完善驱动移动支付安全发展

      软件安全开发主要是从生命周期的角度,对安全设计原则、安全开发方法、最佳实践和安全专家经验等进行总结,通过采取各种安全活动来保证尽可能得到安全的软件。>>详细

      GP TEE中的几种存储方式介绍

    技术创新与监管完善驱动移动支付安全发展

      我们知道TEEOS最重要的功能莫过于安全存储了,这是一切安全的前提,根据存储安全性和使用场景GP TEE安全存储分为RPMB安全存储、SFS安全存储和SQLFS安全存储。>>详细

      针对近期某款POS机攻击案例分析及建议

    技术创新与监管完善驱动移动支付安全发展

      相对IC卡来说,磁条卡本身防护程度较低,磁道数据较易泄露并被复制成伪卡。国家近几年在大力推行银行IC卡,因为IC卡较磁条卡更难被复制,即使芯片卡中的数据泄露,也很难直接用于制造伪卡。>>详细

      安全威胁播报

      上周漏洞基本情况

      上周(2017年10月23日-2017年10月29日)信息安全漏洞威胁整体评价级别为中。

      国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞482个,其中高危漏洞127个、中危漏洞326个、低危漏洞29个。漏洞平均分值为5.82。上周收录的漏洞中,涉及0day漏洞103个(占21%),其中互联网上出现“WordPress eventr SQL注入漏洞、GNOME libgedit.a文件拒绝服务漏洞”零日代码攻击漏洞。上周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数853个,与前周(635个)环比增长34%。

      上周重要漏洞安全告警

      Google产品安全漏洞

      Android是美国谷歌公司开发的一套以Linux为基础的开源操作系统。Mediaframework(libhevc)是其中的一个用于多媒体开发的hevc解码库。上周,该产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。

      CNVD收录的相关漏洞包括:Google AndroidMedia Framework远程代码执行漏洞(CNVD-2017-31360、CNVD-2017-31361、CNVD-2017-31362、CNVD-2017-31363、CNVD-2017-31364、CNVD-2017-31365、CNVD-2017-31366、CNVD-2017-31367)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      Oracle产品安全漏洞

      Oracle E-Business Suite是美国甲骨文公司的一套全面集成式的全球业务管理软件。OracleKnowledge Management是其中的一个知识管理组件。Oracle Fusion Middleware是一套面向企业和云环境的业务创新平台。OracleWebLogic Server是其中的一个适用于云环境和传统环境的应用服务器组件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的保密性、完整性和可用性。

      CNVD收录的相关漏洞包括:OracleKnowledge Management组件存在未明漏洞、Oracle KnowledgeManagement组件存在未明漏洞(CNVD-2017-31058、CNVD-2017-31059)、OracleWebLogic Server存在未明漏洞(CNVD-2017-31499、CNVD-2017-31500、CNVD-2017-31501、CNVD-2017-31502、CNVD-2017-31503)。除“OracleWebLogic Server存在未明漏洞(CNVD-2017-31500、CNVD-2017-31501、CNVD-2017-31502、CNVD-2017-31503)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      D-Link产品安全漏洞

      D-Link DIR-850L REV.A和REV.B都是友讯(D-Link)公司的无线路由器产品。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息、获取权限或执行任意代码。

      CNVD收录的相关漏洞包括:D-LinkDIR-850L REV.A和REV.B DHCP客户端远程代码执行漏洞、D-Link DIR-850L REV.A跨站脚本漏洞、D-LinkDIR-850L REV.A跨站脚本漏洞(CNVD-2017-31794、CNVD-2017-31795、CNVD-2017-31796)、D-LinkDIR-850L REV.B密码泄露漏洞、D-Link DIR-850L REV.B权限获取漏洞、D-LinkDIR-850L REV.B权限获取漏洞(CNVD-2017-31792)。其中,“D-LinkDIR-850L REV.A和REV.B DHCP客户端远程代码执行漏洞、D-Link DIR-850L REV.B权限获取漏洞、D-LinkDIR-850L REV.B权限获取漏洞(CNVD-2017-31792)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      WordPress产品安全漏洞

      WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台。上周,改产品被披露存在SQL注入漏洞,攻击者可利用漏洞执行任意SQL命令。

      CNVD收录的相关漏洞包括:WordPresseventr 'event'参数SQL注入漏洞、WordPress eventr SQL注入漏洞、WordPress SQL注入漏洞(CNVD-2017-31384)、WordPressSupport Ticket System SQL注入漏洞、WordPress surveys 'action'变量SQL注入漏洞、WordPresssurveys SQL注入漏洞、WordPress surveys 'survey_id'变量SQL注入漏洞、WordPressWatuPRO SQL注入漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

      Arris NVG599 AT&T U-verse ROOT获取漏洞

      Arris NVG599是美国Arris集团公司的一款路由器产品。上周,Arris被披露存在权限提升漏洞,远程攻击者可通过在49955端口上建立会话,并安装新软件利用该漏洞获取root权限。目前,厂商尚未发布漏洞修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

      小结

      上周,Google被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。此外,Oracle、D-Link、Wordpress等多款产品被披露存在多个漏洞,攻击者可利用漏洞泄露敏感信息、提升权限或执行任意代码等。另外,Arris被披露存在权限提升漏洞,远程攻击者可通过在49955端口上建立会话,并安装新软件利用该漏洞获取root权限。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

      中国电子银行网综合CNVD、FreeBuf.COM、中国信用卡、雷锋网、安智客、金融科技大讲堂报道  

    责任编辑:韩希宇

    免责声明:

    中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。

    为你推荐

    收藏成功

    确定