瑞士 BPC 的银行支付系统存在 SQL 注入漏洞

近期外媒称，安全公司 Rapid7 研究人员于今年 5 月发现瑞士 BPC 团队所创建的银行支付基础设施与管理系统 SmartVista 存在一处 SQL 注入漏洞，允许黑客侵入 SmartVista 前端的身份验证接口后窃取数据库敏感信息，其中包括用户账号与密码。不过，由于安全研究人员在上报该漏洞至 BPC 团队后至今尚未获得回应，因此他们于近期公开披露银行软件平台 SmartVista 易遭黑客 SQL 注入攻击。

美国 CERT 协调中心与瑞士证券交易委员会在漏洞公开披露后发布警示，宣称由于该攻击活动只能通过经身份验证的前端用户触发，因此攻击者可以通过该漏洞后入侵系统、窃取重要信息。

Rapid7 专家发现，对于访问 Transaction 接口的平台需要用户提供卡号、帐号，以及交易日期三个字段。然而，由于 SmartVista 前端缺乏输入验证，因此不会对交易模块中输入的卡号或帐号进行检测。


不过，卡号仅接受确切的字段以便提供输出。如果事先并不知道卡号，攻击者也可通过该字段启动 布尔型 SQL 注入。但倘若提供了正确的注入语句（如’或’1’=’1）时，数据库将延迟五秒，从而产生一个基于时间的 SQL 注入向量。此外，攻击者还可利用该漏洞强制查询数据库，从而导致访问信息在线暴露。

目前，上报该漏洞的安全机构建议使用 SmartVista 的企业安全更新系统至最新版本，同时应采用防火墙等举措保证信息数据安全，以便保护平台免受 SQL 注入攻击。


优炫下一代防火墙是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

优炫下一代防火墙集成了状态检测防火墙、远程接入、网关防病毒、反间谍软件、反垃圾邮件、入侵防御系统、内容与应用程序过滤、数据泄漏防护、即时通讯管理、带宽管理、多链路管理等多种安全防护功能，并可以提供优秀的处理能力。优炫下一代防火墙是一个可扩展的架构并支持 IPv6，满足用户对未来网络的安全需求。