市場普遍認為，隨著近幾年第三方支付的快速發展，加之第三方支付機構問題的暴露，漏洞安全問題也漸漸的顯現出來，具體原因是什麼呢?一起看下下文分析吧。

　　國內第三方安全平台監測顯示，在幾大網際網路金融領域中，第三方支付的安全值最低。2016年4月，央行發布了《非銀行支付機構分類評級管理辦法》，系統安全被列為基本評價指標，占比15%，為第三大考量因素。

　　「烏雲漏洞」平台安全專家高朋告訴記者，第三方支付平台漏洞類型普遍，主要表現在中間件漏洞導致風險、網站設計邏輯問題及詐騙。業內人士認為，安全意識的薄弱，是支付平台漏洞頻發的根本原因之一。

　　中間件的漏洞爆發導致大批平台中槍

　　第三方支付平台用於開發網站常見的通用組件有Struts2、Weblogic、JBoss。

　　中間件的漏洞爆發會導致大批平台中槍，在第三方支付平台的安全隱患中，此類事件非常多見。

　　今年1月，烏雲平台曝光了某知名支付平台的高危漏洞。由於Weblogic反序列化，導致海量用戶可被任意登錄、敏感信息泄露，涉及用戶數量上億。

　　高朋介紹，此次Weblogic漏洞爆發於去年11月。漏洞爆發前，Weblogic官網發出公告，根據漏洞詳情發布補丁或新系統。如果運維人員關注到更新並分析、修補，上述風險便不會發生。

　　但在漏洞爆發了數月後，該平台依然被白帽子查出，被利用進入核心資料庫。

　　烏雲安全專家王彪告訴記者，黑客利用Weblogic漏洞進入資料庫比以往容易很多。攻擊者通過帶有攻擊代碼的請求控制問題伺服器，連接資料庫，相當於控制伺服器權限。

　　控制了伺服器權限後，不難找到資料庫並進入。白帽子的「漏洞報告」顯示，該平台核心數據上億條，涉及用戶手機、身份證、驗證碼等。

　　甚至，還可看到後台帳戶中的餘額，並在伺服器上修改任意用戶密碼、登錄，便可進行充值、提現等。如果漏洞被黑客利用，將影響平台信譽，造成不可估量的財物損失。

　　「查看」過程是需要時間的，如果後台有人及時發現並干預，黑客就無法操作。但該白帽子在操作過程中，並未受到任何干預。

　　這直接暴露了平台安全意識的薄弱。「安全意識強的團隊，這種漏洞應該早打好補丁。對於團隊而言，提前打補丁比事後修復更省心。」王彪表示。

　　不過，烏雲公開漏洞後，該平台很快完成了修復。記者在烏雲查詢與weblogic相關的漏洞，有大量公司紛紛中槍。

　　高朋表示，通用組件漏洞修復要對系統升級，可能會使系統短暫中斷。由於支付穩定性比安全性更重要，有開發者往往選擇加一道防火牆，但並不是根本的解決辦法。

　　「官方已發布安全更新的漏洞，修復起來相對簡單。此類中間件使用普遍，最重要的是，運維應該了解網站的中間件，隨時關注，及時修補。」他說。

　　漏洞頻發的根本原因：安全意識薄弱

　　另一個支付平台的漏洞則暴露了平台在設計網站時，存在的邏輯漏洞。

　　去年3月，烏雲曝光了某平台「大量合作商家訂單信息可被泄露」的高危漏洞。該平台相關合作商家的訂單信息可被遍歷，存在泄露風險。

　　高朋介紹，攻擊者可先進行充值，在銀行跳往支付過程中截取信息，修改網址中的訂單號，就可進入任意商家訂單頁面。

　　漏洞原因是訂單編號設計過於簡單，任何人可通過窮舉方式查看他人的訂單頁面。

　　該平台隨後對漏洞確認，並評級為低。該公司向記者解釋，「漏洞提交後，經過我們實際驗證，該漏洞只涉及少量會產生訂單號的商戶，且漏洞所反映的實際存在問題是訂單號為累加的;由於支付環節不涉及商戶帳戶密碼，故也不涉及『自動登錄到合作商家的用戶帳號』中的危害。」

　　至於漏洞的修復情況，對方表示當天已修復，「將訂單號隨機化，而非簡單累加，並定期刪除與需要的訂單號碼;同時聯繫商戶告知並幫助商戶進行修復。」

　　除了上述兩種最常見的漏洞以外，也有信息保存不善導致的漏洞。

　　如員工在公司使用的密碼與其他一致，或較常見，黑客通過「撞庫」登錄，進而控制伺服器。

　　一個業內著名的案例是，某員工將公司網站代碼儲存到某第三方平台，被發現後大面積曝光，導致公司存在嚴重的信息泄露風險。

　　谷安天下高級諮詢顧問邊美娜表示，有人提出基於銀行的三道防線，即業務部門、風險管理、審計部門。她認為支付平台應增加第四道防線，即安全部門。

　　由於國內安全領域沒有出現非常嚴重的漏洞事件，很多公司對安全並不重視，不是每個公司都有安全團隊。安全意識的薄弱，是支付平台漏洞頻發的根本原因之一。

　　在首批支付牌照即將到期之時，央行將系統安全作為評價標準之一。在下一批牌照下發之前，或許給各支付公司敲響了警鐘，支付安全也必須成為各平台關注的下一個修復重點。

　　更多第三方支付行業，最新相關資訊，請點擊查閱中國報告大廳發布的《2016-2021年中國第三方在線支付行業發展分析及投資潛力研究報告》。