支付宝漏洞数量为业内最多

 　　

　　近期，乌云网多次曝光国内知名网站平台漏洞。据比格达塔(中国)研究院统计，2010年11月至2014年5月，国内几大第三方支付平台已知存在系统漏洞99个，其中国内第三方支付龙头"支付宝"达到60个，财付通也达到14个，易宝与友宝也分别为9个和7个。而从第三方支付企业的修复态度来看，只有59%的系统漏洞被厂商积极解决，而有37%的漏洞被厂商搁置，同时更有4%的漏洞被厂商直接忽略。

　　以下是报告全文：

　　“无需网银，只需关联您的信用卡或借记卡，每次付款时只需输入支付宝支付密码即可完成付款……” 这是支付宝快捷支付的宣传广告语。

　　2013年8月，快捷支付在给客户带来方便的同时，也带来了安全的困扰，部分使用支付宝“快捷功能”的客户不断遭遇网络盗刷，最大一笔资金达到9492.24元。

　　2014年2月，支付宝快捷支付的安全漏洞被曝出5分钟盗刷2万，淘宝网也证实了这是近期一个新业务规则引起的短时漏洞，并已在第一时间修复。虽然支付宝公关部相关负责人则表示，经过核查，漏洞只涉及淘宝网，和支付宝无关。但漏洞究竟因何而起，仍是一片疑云。

　　一、2010-2014第三方支付漏洞汇总

　　

 

　　根据比格达塔(中国)研究院统计，以乌云网站发布的安全漏洞信息进行分析发现，2010年11月至2014年5月，国内几大第三方支付平台已知存在系统漏洞99个，其中国内第三方支付龙头“支付宝”达到60个，财付通也达到14个，易宝与友宝也分别为9个和7个。

　　二、主流第三方支付漏洞分析

　　2010年至2014年的99个中，我们依照漏洞的风险级别按照高、中、低进行划分，发现高级别漏洞32个，中级别漏洞44个，低级别漏洞23个。以支付宝、财付通、易宝支付为研究对像，进行分析。

　　

 

　　如上图所示，支付宝的60个漏洞中，高级别漏洞达到29个，接近50%的高风险率，而中级别的漏洞也达到了16个，同样在财付通与易宝支付的漏洞中，高级别和中级别漏洞占比也相当的大。

　　三、第三方支付漏洞类型分析

　　

 

　　截止 2014年5月，目前知晓的第三方支付漏洞的类型大体可分为21种，设计缺陷和逻辑错误、XSS跨站脚本、敏感信息是最常见的漏洞，也是较容易忽略的，以XSS跨站脚本为例，其攻击是通过恶意的脚本语言攻击浏览网页的用户信息，这时如果用户的账户等敏感信息保存在session或cookie中就有可能被窃取，造成用户敏感信息泄露，而SQL注入攻击是一个比较常见的漏洞，通过SQL语言本身的缺陷和设计代码者的疏忽攻击系统数据库，这种漏洞完全可以获取到数据库的全部信息、修改数据库的信息，造成数据库系统的瘫痪;远程代码执行漏洞同样会造成服务器端信息暴露在入侵者手里，使入侵者像在操作自己电脑一样操作服务器获取信息。

　　四、第三方支付漏洞修复分析

　　

 

　　截止2014年5月在第三方支付的漏洞修复中，高级别漏洞修复率相对很低,未达到60%，而中级别漏洞与低级别漏洞相比而言说尚好，但也是在60%的边缘徘徊。

　　

 

　　我们在对这99个不同漏洞中进行性的质划分，并对其修复率进行分析，发现被曝出的较多的漏洞如“敏感信息泄露”、“逻辑错误”、“UR跳转”、“钓鱼漏洞”修复率均在50%以下，而只有“XSS脚本攻击”、“未授权访问”的漏洞相对尚好，同时“应用配置错误”、“系统补丁不及时”等出现较少的漏洞，修复率只能说是虚高。由此可见目前第三方支付漏洞的修复率实在不容乐观。

　　五、第三方支付厂商态度分析

　　

 

　　比格达塔(中国)研究院在对第三方支付厂商修复的态度上进行了分析发现，截止 2014年5月，只有59%的系统漏洞被厂商积极解决，而有37%的漏洞被厂商搁置，同时更有4%的漏洞被厂商直接忽略。

　　

 

　　截止2014年5月，对于第三方支付的41个被厂商搁置或被忽略的漏洞中，支付宝最多，达到32个，而财富通也有3个，这此漏洞中被放置1年以上的有28个，其中支付宝更是占据20个。

　　根据中国支付清算协会发布的《中国支付清算行业运行报告 (2014)》数据显示，2013年我国第三方支付市场规模已达16万亿元，而这里面支付宝、财富通占比最大分别达到47.63%、18.88%。表明着其背后拥有的庞大的客户群体，因此平台安全问题的解决应是首要任务，漏洞被发现不可怕，必定你的市场分额大，社会关注多，但有漏洞你不去修复甚至放置几年，那就是你厂商的态度问题，或说成是厂商你技术能力有限。

　　比格达塔中国研究院院长助理、互联网金融研究事业部研究员