近日烏雲平台整理了一(yī)份關于P2P平台南器漏洞的報告,報告顯示,國内多數P2P企業曾存在店雨各種影響資(zī)金安全的漏洞,涉及很多知(見睡zhī)名P2P平台,如翼龍貸、宜人貸、易貸網以及有利網等。目前,有的漏洞已業新經修複,有的仍然存在。
根據烏雲漏洞收集平台的數據顯示,自2014年至今,平台收到的關議有關P2P行業漏洞總數為402個,僅2015年上半年就有235個,僅上半現票年就比去(qù)年一(yī)年增長了40.7%。
2014年至2015年8月烏雲漏洞報告平台P2P行業漏洞數量統計顯示車輛,高危漏洞占56.2%,中(zhōng)危漏洞占23.4%,低廠筆危漏洞占12.3%,8.1%被廠商(shāng鄉哥)忽略。
2014年至今的4201個漏洞中(zhōng),有可能影響到資(醫雪zī)金安全的漏洞就占來漏洞總數量的39%。2015年上半年中(zhō冷麗ng),對資(zī)金有危害的漏洞就占了今年P2P漏洞綜述的43%。
在邏輯漏洞中(zhōng),密碼重置漏洞占60%;訪問那光漏洞占40%,支付漏洞占16%,其他占20%。
下(xià)面六組案例大(dà)部分山鐵(fēn)廠商(shāng)認同,并且已經修複。其中票聽(zhōng),密碼重置漏洞非常普遍——
漏洞案例一(yī):
邏輯錯誤或設計缺陷導緻的密碼重置漏洞
涉及平台:搜易貸、翼龍貸、金海貸、和信貸、拍拍貸以及有利體也網
簡單來說,就是攻擊者拿着自己密碼重置的醫東憑證重置了别的密碼。
比如在翼龍貸的案例中(zhōng),通過找回密碼,抓包可以男坐看到用戶的郵箱、餘額、手機号、ID等敏感信息。
此外(wài),利用Email 和 ID,白(bái房好)帽還可以重置用戶的密碼。
在有利網的案例中(zhōng),由于某個參數設置的過于簡睡秒單,且發送請求時無次數限制,可以通過爆破重置任意用戶密碼。
在和信貸的案例中(zhōng),由于設計缺陷,重置其它用戶的密碼不需關明要知(zhī)道用戶郵箱收到的具體(tǐ)開器URL,可以直接拼湊出重置其它用戶密碼的URL進行密碼麗玩重置。
重置密碼這個類型漏洞在P2P平台比較普遍,包含爆破類型、妙南鐘改類型以及需要與人交互類型這三種,似乎“黑客”重置用戶劇拿密碼變成一(yī)個非常簡單的事情。
用戶的密碼都被重置了,資(zī)金還安全嗎(ma)?烏雲平台認為服算,重置密碼從來都不是一(yī)件小(xiǎo)事情,作為跟資(zī)金相關資河的金融平台,密碼不僅是對用戶的一(yī)層安全保障,也是自家資(空風zī)金安全的門鎖之一(yī)。
烏雲平台建議開(kāi)發人員(yuán)在個樂開(kāi)發的過程中(zhōng),應該注意“保證Co舊視okie等可以重置密碼的憑證與用戶之間的對應關系”。
漏洞案例二:
數據庫配置錯誤賬号密碼存洩漏風險
涉及平台:宜人貸
今年5月,宜信旗下(xià)網貸平台宜人貸某處配置不當可導緻數據庫賬樹湖号密碼等敏感信息洩露 ,這是一(yī)個因為應用配置錯誤造成的那遠SVN洩漏,從而導緻數據庫賬号密碼等敏感信息洩書光漏。SVN是Subbersion的簡稱,是一(yī)個開(kāi)放(fà綠弟ng)源代碼的版本管理工(gōng)具。
對于該漏洞,廠商(shāng)已經修複。并表示,漏洞系研發私自修改NGI兒了NX目錄限制導緻,已修改,同時禁止研發使用時化SVN COPY。
漏洞案例三:
設計缺陷導緻的登錄邏輯錯誤/影響用湖金戶賬号安全
涉及平台:宜人貸、翼龍貸
今年5月,宜人貸某處缺陷導緻奇葩登錄邏輯、爆破中地、惡意綁定等缺陷 。也就是說,在宜人貸某處可以免密得舞碼登錄,随便輸入一(yī)個工(gōng)号就可以登錄。登錄後,可以将未綁定賬放在号的内部賬号綁到自己的賬戶上,然後等待獎勵分(fēn)錢房輛。
該漏洞危險等級低,目前已經修複。宜人貸請腦回複稱,此問題為産品設計問題,是已知(zhī)問題,已經在下(x劇對ià)期更新中(zhōng)加入進入個人中(zhōng動明)心時的短信驗證。
在翼龍貸案例中(zhōng),翼龍貸用戶通過手慢男機客戶端郵件找回密碼,驗證碼明文出現在返回包中(zhō綠科ng)。
烏雲平台認為,涉及到錢的問題再小(xiǎo)也不能忽視。尤其是翼龍貸,開慢拍(kāi)發人員(yuán)在對待安全問題上不夠謹慎,考慮畫城不夠全面。
漏洞案例四:
運維不當導緻用戶安全受威脅
涉及平台:翼龍貸
這是一(yī)個OpenSSL心髒滴血漏洞,可以獲取用戶完整的Coo體雪kie,間接影響用戶賬戶和資(zī)金安全,場制可以實現無限獲得50元新手紅包。
心髒滴血漏洞2014年4月7日被程序員(yuán)Se知暗an Cassidy的博客上被公開(kāi)到現在,已經有很長畫那一(yī)段時間了,而翼龍貸卻沒有打上補丁,造成用戶完整的慢放Cookie洩漏,間接影響用戶賬戶與資(zī)金安全。
漏洞案例五:
邏輯錯誤導緻無限刷紅包
涉及平台:有利網
這個漏洞的白(bái)帽子給了這樣一(yī)個直接的标簽:有利多現網刷錢漏洞。該漏洞利用了有利網注冊可獲50元紅包和可以任意靜飛手機号注冊兩個條件,結合Burp Sui吧開te修改相應包的内容,可以實現無限獲得50身秒元的新手紅包。
烏雲平台認為這漏洞比較難被利用,但是,在金錢的利誘下(xià),知窗麻煩又(yòu)怕什麼。但是,有利網方面回應,這個漏洞不花什影響。于是,這個漏洞被忽略了。
漏洞案例六:
任意文件包含影響資(zī)金安全
涉及平台:易貸網
在今年7月,易貸網存在任意文件包含,包含數商配置文件可以讀到物(wù)理路徑,注冊一(yī)個用戶上件他傳圖片,圖片中(zhōng)插入一(yī)句話(huà玩長)即可getshell,然後可以接觸到十幾萬的用戶數據,信嗎當然有用戶賬号密碼這些跟資(zī)金相關的敏感數據。
文件包含漏洞是由于在引入文件時,對傳入的文件名沒厭他有經過合理的校驗,或者校驗被繞過,從而操作了預想之外(w理是ài)的文件,就可能導緻意外(wài)的文件洩漏甚至惡意的代碼注入。
針對該漏洞,今年8月易貸網回複稱,因他金啟用新域名後,老域名切換到測試環境,并臨時關和影閉Waf防護做滲透測試,現在測試完畢,漏洞早已修月低複,并已經開(kāi)啟了WAF防護,目前已不可利用。
烏雲平台認為,當賬号密碼被洩露,資(zī)金就會面臨和爸安全挑戰,因此不能疏忽。
此外(wài),還有兩個漏洞案例沒有引起廠商(shāng)的森個注意,已經選擇忽略——
1)安心貸重要功能設計缺陷(影響全站用戶)
手機找回密碼功能存在設計缺陷,可以重置任意用戶的密碼;安心貸已經主動忽和畫略漏洞。
2)808信貸新版更嚴重漏洞二(某業務師多可Getshell漫遊内網附送SQL注入&心髒滴血)
烏雲官網顯示,白(bái)帽多次聯系808信貸客服,然而對方不理樹用不睬。
根據世界反黑客組織的最新通報,中(zhōng)國P2P平台要多已經成為全世界黑客宰割的羔羊,已有多起黑客盜取P2P討火平台現金的案例發生(shēng),P2P行業資(zī熱靜)金安全問題不可忽視。www.dragonzl現對.com