由于金融行业的特殊性，其网站安全性相对来说要求更高，也由于其特殊性更容易受到安全攻击，编者为大家总结了金融行业平台常见的一些安全漏洞以及防御方法，一起来看下。

一：平行权限越权操作漏洞描述

平行权限越权操作其实是一种较为常见的安全漏洞，在OWASP Top 10中也有所提及，分别为不安全对象引用和功能级别访问控制缺失。其中不安全对象引用指的是平行权限的访问控制缺失，功能级别访问控制缺失指的是垂直权限的访问控制缺失，属于业务设计缺陷的安全问题，因此传统的扫描器是无法发现的，只能通过手工的渗透测试去进行检查。在金融平台中以平行权限的访问控制缺失较为常见。

平行权限越权操作漏洞代码防护方法：

针对平行权限的访问控制缺失，建议基于用户或者会话的间接对象引用进行防护，比方说，一个某个选项包含6个授权给当前用户的资源，它可以使用一串特殊的数字或者字符串来指示哪个是用户选择的值，而不是使用资源的数据库关键字来表示，数字和字符串的生成可以结合账号信息进行生成，使得攻击者难以猜测生成的方式。

针对垂直权限的访问控制缺失，我们建议可以使用缺省拒绝所有的访问机制，然后对于每个功能的访问，可以明确授予特定角色的访问权限，同时用户在使用该功能时，系统应该对该用户的权限与访问控制机制进行校对。

二：恶意短信漏洞描述

恶意短信是一种类似于DDoS的攻击方式，他是利用网站的短信相关的功能，对用户的手机进行长时间的短信轰炸，导致手机瘫痪。除了单纯的短信轰炸之外，我们在测试过程中也发现，部分金融交易平台对所发送的短信内容也并没有进行限制，导致可被利用进行短信欺诈。

代码防护

针对恶意短信类的安全问题，建议可以通过以下两种方式进行防护：

1、从服务端限制每个号码的发送频率和每天的发送次数，防止攻击者利用短信接口进行恶意轰炸。‍‍

‍‍2、发送短信的内容应直接由系统内部进行定义，客户端可通过数字或字符的方式，对所需要发送的内容进行选择，如messagetype=1 为密码找回，messtype=2为注册，然后通过数字来索引要发送的内容。

三：恶意注册漏洞描述

恶意注册，是指攻击者利用网站注册功能的安全漏洞，注册大量的垃圾账号，导致系统增多大量无用数据。一般网站开发者为了防止恶意注册的行为，在注册页面均会在加入一些需要人工输入的步骤，比方说短信验证码，邮箱验证等。但是在对金融平台测试的过程中，同样也发现了部分验证功能可被绕过。

恶意注册漏洞代码防护方法：

目前遇到的大部分恶意注册类的安全漏洞均为验证码可被多次使用造成，我们建议后台对验证码的使用进行限制，任何的验证码应为一次性，防止验证码被多次使用。