導(dǎo)讀

根據(jù)Black Cloud漏洞收集平臺的數(shù)據(jù)，自2014年以來，該平臺收到的V2P行業(yè)漏洞總數(shù)在2015年上半年達(dá)到402,235，今年上半年僅為40.7％。和去年一樣。

在上述漏洞中，可能影響資金安全的漏洞數(shù)量占總數(shù)的46.2％。在2015年上半年，這一比例保持在44.3％并且沒有下降。

本報(bào)記者吳燕玉北京報(bào)道

9月16日，知名互聯(lián)網(wǎng)漏洞平臺Wuyun.com發(fā)布了P2P平臺漏洞報(bào)告。許多P2P信用平臺，包括搜索和貸款，以及信貸，翼龍和利潤網(wǎng)絡(luò)，都表示他們存在安全漏洞。

報(bào)告顯示，許多國內(nèi)P2P平臺存在安全漏洞，其中一些漏洞可能直接影響用戶的財(cái)務(wù)安全。面對這些漏洞，一些平臺選擇響應(yīng)和修復(fù)，有些平臺選擇忽略它們。

這些漏洞會給用戶和平臺帶來什么樣的危機(jī)，以及為什么漏洞仍在增加并變得更加嚴(yán)重，相關(guān)專家會解釋這種“停滯”邏輯。

　　漏洞日趨嚴(yán)峻

根據(jù)武運(yùn)漏洞采集平臺的數(shù)據(jù)，截至2015年7月底，該平臺自2014年以來收到的P2P行業(yè)漏洞總數(shù)為402，今年上半年僅為40.7％。其中，高風(fēng)險(xiǎn)漏洞占56.2％，中等風(fēng)險(xiǎn)漏洞占23.4％，低風(fēng)險(xiǎn)漏洞占12.3％，供應(yīng)商忽略8.1％。

在上述漏洞中，可能影響資金安全的漏洞數(shù)量占總數(shù)的46.2％。在2015年上半年，這一比例保持在44.3％并且沒有下降。

Wuyun.com曝光了12,306個(gè)用戶泄密，攜程信息泄露，天河1號等知名安全漏洞。在黑云漏洞平臺中，最常見的P2P平臺類型包括支付漏洞，密碼重置和訪問控制。其中，密碼重置占60％。

“從P2P行業(yè)開始，存在各種安全問題。如今，P2P產(chǎn)業(yè)正在獲得動力。對安全漏洞的態(tài)度更加不平衡。隨著基地的擴(kuò)大，安全問題似乎沒有改善，但情況正在惡化。 ”黑云聯(lián)合創(chuàng)始人馮溝告訴“21世紀(jì)經(jīng)濟(jì)報(bào)道”。

金山首席安全專家李鐵軍告訴“21世紀(jì)經(jīng)濟(jì)報(bào)道”，一些P2P平臺建立在一個(gè)共同的模板上。當(dāng)發(fā)生安全漏洞時(shí)，類似的網(wǎng)站將被批量入侵。

8月8日，國內(nèi)主流貸款系統(tǒng)貸款齊樂被發(fā)現(xiàn)有多個(gè)SQL（使用現(xiàn)有的應(yīng)用程序，將惡意SQL命令注入后端數(shù)據(jù)庫引擎執(zhí)行數(shù)據(jù)庫的能力），這可能會影響大量P2P在線貸款網(wǎng)站。兩天后，黑色云平臺爆發(fā)，一些地方出現(xiàn)了設(shè)計(jì)漏洞，導(dǎo)致大面積注入和幾次高權(quán)限SQL注入。借貸系統(tǒng)的安全性將影響多個(gè)P2P平臺。

根據(jù)世界反黑客組織的最新報(bào)告，中國的P2P平臺已經(jīng)成為世界黑客的屠殺，并且有很多黑客竊取P2P平臺現(xiàn)金的案例。例如，2014年1月29日，譚登元因入侵其他人的計(jì)算機(jī)系統(tǒng)并騙取大量P2P平臺現(xiàn)金而被判五年徒刑。涉及的金額為157萬。

　危險(xiǎn)密碼解讀

　由于邏輯錯誤或設(shè)計(jì)缺陷導(dǎo)致的漏洞占云漏洞平臺的很大一部分。攻擊者可以使用通過重置密碼獲得的驗(yàn)證碼重置其他用戶的密碼。

在今年4月，黑云白帽（即前黑客可以識別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但不會惡意使用它們，但宣布其漏洞）“經(jīng)理“上傳了搜索貸款的邏輯漏洞。攻擊者只需打開自己與他人之間的鏈接即可重置密碼，點(diǎn)擊修改密碼，獲取驗(yàn)證碼后，返回密碼重置頁面，填寫驗(yàn)證碼即可成功修改密碼。另一個(gè)人的密碼。登錄其他帳戶。

White Cloud 303告訴“21世紀(jì)經(jīng)濟(jì)報(bào)道”，該漏洞是由于網(wǎng)站沒有cookie（用于在瀏覽器的身份驗(yàn)證機(jī)制中對用戶進(jìn)行身份驗(yàn)證）而不將cookie綁定到用戶，因此當(dāng)兩個(gè)帳戶同時(shí)運(yùn)行時(shí)，網(wǎng)站很容易混淆兩個(gè)網(wǎng)絡(luò)身份。

針對上述漏洞，Search Easy Loan在黑云平臺上做出回應(yīng)，稱“該漏洞已轉(zhuǎn)移到搜索和貸款公司”。記者聯(lián)系了搜狗，了解漏洞修復(fù)情況，但沒有收到平臺的相關(guān)回復(fù)。

這種情況不僅存在于尋求輕松貸款，而且還存在于黑云漏洞平臺，金海貸款，信貸，拍賣等P2P平臺都存在上述問題。

在這方面，9月16日下午，“21世紀(jì)經(jīng)濟(jì)報(bào)道”了解了云運(yùn)網(wǎng)報(bào)道中提到的一些網(wǎng)站的漏洞。記者聯(lián)系了搜索輕松貸款和信貸。搜索簡單的貸款促使記者發(fā)送電子郵件，但在發(fā)布時(shí)，他們沒有收到回復(fù)。此外，信用卡提供的電子郵件地址顯然不正確。記者發(fā)了三封電子郵件，由系統(tǒng)退回。因此，再次聯(lián)系信用方的人，對方堅(jiān)持認(rèn)為郵箱是正確的，但不愿意轉(zhuǎn)移記者的意愿打電話給相關(guān)負(fù)責(zé)人。

在這方面，黑云漏洞平臺建議Web開發(fā)人員應(yīng)該關(guān)注開發(fā)過程，如何確保憑證與其他可以重置密碼的用戶之間的對應(yīng)關(guān)系。 “如果站點(diǎn)具有cookie和用戶的一對一綁定，則可以輕松避免此問題。 ”白帽子303說。

密碼仍然存在許多漏洞。

今年5月云計(jì)算已經(jīng)公開了信用，任何用戶密碼都可以重置，因?yàn)榭梢岳@過一些關(guān)鍵步驟。正常的密碼重置過程應(yīng)分為“輸入圖形驗(yàn)證碼，發(fā)送短信驗(yàn)證碼，輸入驗(yàn)證碼，復(fù)位”，并在信用過程中，直接繞過驗(yàn)證過程的第三步。一旦攻擊者無需身份驗(yàn)證即可重置用戶密碼。 White Hat 303介紹說，在這個(gè)漏洞中，SMS驗(yàn)證碼沒有起到驗(yàn)證作用。

根據(jù)Wuyun.com的說法，一般密碼重置分為輸入用戶名，驗(yàn)證身份，重置密碼和完成四個(gè)步驟。重置密碼的漏洞分為三種類型：爆破，第二次更改和與人交互。

其中，爆破（即暴力破解，通過工具猜測用戶密碼）包括兩種手機(jī)驗(yàn)證碼和郵箱驗(yàn)證碼。手機(jī)驗(yàn)證碼漏洞更為常見。通常，驗(yàn)證設(shè)計(jì)過于簡單，并且對檢查代碼的使用次數(shù)沒有限制。因此，可以枚舉和彈出正確的驗(yàn)證碼以重置密碼。

例如，在2013年4月，有利的網(wǎng)絡(luò)被暴露，因?yàn)槟硞€(gè)參數(shù)的設(shè)置過于簡單，并且發(fā)送請求的次數(shù)沒有限制，并且任何用戶密碼都可以通過爆破重置。

White Hat 303介紹了黑客習(xí)慣收集詞典，這將形成一般的密碼庫。在這種情況下，它們可能會與庫發(fā)生沖突（黑客通過在網(wǎng)絡(luò)上收集泄露的用戶名和密碼來生成相應(yīng)的詞典）。表，嘗試登錄其他站點(diǎn)，獲取一批可以登錄的用戶帳戶和密碼）以達(dá)到攻擊的目的。

當(dāng)用戶單擊以發(fā)送驗(yàn)證碼時(shí)發(fā)生爆破郵箱漏洞，并且數(shù)據(jù)包在后臺生成。攻擊者可以通過攔截?cái)?shù)據(jù)包并查看鏈接來重置密碼。

對于這種密碼重置系列漏洞，李鐵軍表示這是一個(gè)高風(fēng)險(xiǎn)的漏洞，因?yàn)楣粽呖梢垣@得其他財(cái)富管理用戶的密碼。如果平臺的資金沒有退回，攻擊者將有機(jī)會獲取資金并將其提取到其他銀行賬戶。

FengGou表示，大多數(shù)漏洞都是由于缺乏安全意識和可靠的安全執(zhí)行，并且存在可以避免的共性。

在這方面，吳云建議P2P平臺應(yīng)該對自己做一個(gè)大的檢查。重置密碼永遠(yuǎn)不是一件小事。作為與融資相關(guān)的第三方平臺，密碼不僅是用戶的安全層，也是其自身的安全層。金融安全的門鎖之一。

　　攻擊從未停止

根據(jù)黑云報(bào)告，截至2014年底，由于黑客入侵，惡意篡改以及資金被搶劫，近165個(gè)P2P平臺陷入癱瘓。每天，該平臺因黑客攻擊而面臨破產(chǎn)。

雖然P2P金融行業(yè)面臨的安全問題已經(jīng)變得更加嚴(yán)重，但安全問題并未在該行業(yè)中得到充分重視。從黑云漏洞平臺可以看出，一些實(shí)際控制器對漏洞沒有任何重要性。

5月31日，烏云公布了安信貸款的重要功能設(shè)計(jì)缺陷。可以修改漏洞以滿足請求包中的移動電話號碼，使得移動電話可以接收任何用戶重置面所需的驗(yàn)證碼以重置用戶密碼。可能影響站點(diǎn)所有用戶的目的是供應(yīng)商忽略該漏洞。

針對這個(gè)問題，安新貸款的客服人員告訴“21世紀(jì)經(jīng)營報(bào)告”，如果出現(xiàn)問題，相關(guān)同事肯定會第一時(shí)間處理。然而，截至發(fā)稿時(shí)，制造商尚未確定黑云漏洞平臺的漏洞。

6月5日，黑云在新版8080信用卡中爆發(fā)了新一波高風(fēng)險(xiǎn)漏洞，包括gethell（訪問權(quán)限）漫游內(nèi)網(wǎng)，SQL注入和其他問題，但該漏洞仍被供應(yīng)商忽略。

目前，對脆弱性的態(tài)度相對積極，但仍有更多的傳統(tǒng)企業(yè)思想來掩蓋安全事件。馮溝表示，希望公司本身可以負(fù)責(zé)用戶信息和財(cái)務(wù)安全，并且必須有第三方可靠的監(jiān)管機(jī)構(gòu)進(jìn)行監(jiān)督。

如何防止這種情況再次發(fā)生？李鐵軍告訴記者，這首先需要用戶和平臺的雙重關(guān)注。用戶需要充分了解平臺信息泄露后可能出現(xiàn)的平臺和風(fēng)險(xiǎn)。該平臺需要與專業(yè)安全公司合作，以解決信息泄露的風(fēng)險(xiǎn)。

« 《馬里奧網(wǎng)球Aces》更新3.0版的論壇主題！新開幕動畫節(jié)目 | 谷歌：帶寬速度足以在云端玩游戲！ Stadia平臺不會登陸中國！ »