乌云解构P2P平台漏洞:涉及翼龙贷宜人贷等

简介:
P2P平台漏洞危害情况
P2P平台漏洞危害情况
逻辑漏洞各类型占比
逻辑漏洞各类型占比
P2P平台影响资金安全的漏洞占比
P2P平台影响资金安全的漏洞占比

近日乌云平台整理了一份关于P2P平台漏洞的报告,报告显示,国内多数P2P企业曾存在各种影响资金安全的漏洞,涉及很多知名P2P平台,如翼龙贷、宜人贷、易贷网以及有利网等。目前,有的漏洞已经修复,有的仍然存在。

根据乌云漏洞收集平台的数据显示,自2014年至今,平台收到的有关P2P行业漏洞总数为402个,仅2015年上半年就有235个,仅上半年就比去年一年增长了40.7%。

2014年至2015年8月乌云漏洞报告平台P2P行业漏洞数量统计显示,高危漏洞占56.2%,中危漏洞占23.4%,低危漏洞占12.3%,8.1%被厂商忽略。

2014年至今的4201个漏洞中,有可能影响到资金安全的漏洞就占来漏洞总数量的39%。2015年上半年中,对资金有危害的漏洞就占了今年P2P漏洞综述的43%。

在逻辑漏洞中,密码重置漏洞占60%;访问漏洞占40%,支付漏洞占16%,其他占20%。

下面六组案例大部分厂商认同,并且已经修复。其中,密码重置漏洞非常普遍——

漏洞案例一:

逻辑错误或设计缺陷导致的密码重置漏洞

涉及平台:搜易贷、翼龙贷、金海贷、和信贷、拍拍贷以及有利网

简单来说,就是攻击者拿着自己密码重置的凭证重置了别的密码。

比如在翼龙贷的案例中,通过找回密码,抓包可以看到用户的邮箱、余额、手机号、ID等敏感信息。

此外,利用Email 和 ID,白帽还可以重置用户的密码。

在有利网的案例中,由于某个参数设置的过于简单,且发送请求时无次数限制,可以通过爆破重置任意用户密码。

在和信贷的案例中,由于设计缺陷,重置其它用户的密码不需要知道用户邮箱收到的具体URL,可以直接拼凑出重置其它用户密码的URL进行密码重置。

重置密码这个类型漏洞在P2P平台比较普遍,包含爆破类型、妙改类型以及需要与人交互类型这三种,似乎“黑客”重置用户密码变成一个非常简单的事情。

用户的密码都被重置了,资金还安全吗?乌云平台认为,重置密码从来都不是一件小事情,作为跟资金相关的金融平台,密码不仅是对用户的一层安全保障,也是自家资金安全的门锁之一。

乌云平台建议开发人员在开发的过程中,应该注意“保证Cookie等可以重置密码的凭证与用户之间的对应关系”。

漏洞案例二:

数据库配置错误账号密码存泄漏风险

涉及平台:宜人贷

今年5月,宜信旗下网贷平台宜人贷某处配置不当可导致数据库账号密码等敏感信息泄露 ,这是一个因为应用配置错误造成的SVN泄漏,从而导致数据库账号密码等敏感信息泄漏。SVN是Subbersion的简称,是一个开放源代码的版本管理工具。

对于该漏洞,厂商已经修复。并表示,漏洞系研发私自修改NGINX目录限制导致,已修改,同时禁止研发使用SVN COPY。

漏洞案例三:

设计缺陷导致的登录逻辑错误/影响用户账号安全

涉及平台:宜人贷、翼龙贷

今年5月,宜人贷某处缺陷导致奇葩登录逻辑、爆破、恶意绑定等缺陷 。也就是说,在宜人贷某处可以免密码登录,随便输入一个工号就可以登录。登录后,可以将未绑定账号的内部账号绑到自己的账户上,然后等待奖励分钱。

该漏洞危险等级低,目前已经修复。宜人贷回复称,此问题为产品设计问题,是已知问题,已经在下期更新中加入进入个人中心时的短信验证。

在翼龙贷案例中,翼龙贷用户通过手机客户端邮件找回密码,验证码明文出现在返回包中。

乌云平台认为,涉及到钱的问题再小也不能忽视。尤其是翼龙贷,开发人员在对待安全问题上不够谨慎,考虑不够全面。

漏洞案例四:

运维不当导致用户安全受威胁

涉及平台:翼龙贷

这是一个OpenSSL心脏滴血漏洞,可以获取用户完整的Cookie,间接影响用户账户和资金安全,可以实现无限获得50元新手红包。

心脏滴血漏洞2014年4月7日被程序员Sean Cassidy的博客上被公开到现在,已经有很长一段时间了,而翼龙贷却没有打上补丁,造成用户完整的Cookie泄漏,间接影响用户账户与资金安全。

漏洞案例五:

逻辑错误导致无限刷红包

涉及平台:有利网

这个漏洞的白帽子给了这样一个直接的标签:有利网刷钱漏洞。该漏洞利用了有利网注册可获50元红包和可以任意手机号注册两个条件,结合Burp Suite修改相应包的内容,可以实现无限获得50元的新手红包。

乌云平台认为这漏洞比较难被利用,但是,在金钱的利诱下,麻烦又怕什么。但是,有利网方面回应,这个漏洞不影响。于是,这个漏洞被忽略了。

漏洞案例六:

任意文件包含影响资金安全

涉及平台:易贷网

在今年7月,易贷网存在任意文件包含,包含配置文件可以读到物理路径,注册一个用户上传图片,图片中插入一句话即可getshell,然后可以接触到十几万的用户数据,当然有用户账号密码这些跟资金相关的敏感数据。

文件包含漏洞是由于在引入文件时,对传入的文件名没有经过合理的校验,或者校验被绕过,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意的代码注入。

针对该漏洞,今年8月易贷网回复称,因启用新域名后,老域名切换到测试环境,并临时关闭Waf防护做渗透测试,现在测试完毕,漏洞早已修复,并已经开启了WAF防护,目前已不可利用。

乌云平台认为,当账号密码被泄露,资金就会面临安全挑战,因此不能疏忽。

此外,还有两个漏洞案例没有引起厂商的注意,已经选择忽略——

1)安心贷重要功能设计缺陷(影响全站用户)

手机找回密码功能存在设计缺陷,可以重置任意用户的密码;安心贷已经主动忽略漏洞。

2)808信贷新版更严重漏洞二(某业务可Getshell漫游内网附送SQL注入&心脏滴血)

乌云官网显示,白帽多次联系808信贷客服,然而对方不理不睬。

根据世界反黑客组织的最新通报,中国P2P平台已经成为全世界黑客宰割的羔羊,已有多起黑客盗取P2P平台现金的案例发生,P2P行业资金安全问题不可忽视。




原文出处:科技行者
转载请与作者联系,同时请务必标明文章原始出处和原文链接及本声明。
目录
相关文章
|
5月前
|
监控 安全 数据挖掘
简析漏洞生命周期管理的价值与关键要求
定期呈递给组织管理层的漏洞管理报告总结了当前的安全状况,突出了需要关注和改进的方面。这类报告确保高层全面了解漏洞威胁情况,并参与安全工作,为决策提供清晰简明的洞察力。这包括突出关键度量指标、列出战略性洞察力以及力求与业务目标相一致。
|
7月前
|
存储 安全 搜索推荐
解析商业电子邮件泄露:深度剖析攻击的含义
商业电子邮件泄露(BEC)攻击是精心策划的网络诈骗,通过假冒高管或供应商诱导受害者转账。例子包括谷歌和脸书被骗走1.21亿美元,丰田子公司损失3700万美元。BEC不仅导致财务损失,还损害企业声誉,影响员工信任和士气。防止措施至关重要,因为一旦中招,可能面临法律和经济双重打击。
79 1
|
7月前
|
运维 安全 程序员
如何使用远程控制软件并将用途最大化?4款国内外优质应用测评解析
如何使用远程控制软件并将用途最大化?4款国内外优质应用测评解析
104 0
如何使用远程控制软件并将用途最大化?4款国内外优质应用测评解析
|
设计模式 人工智能 缓存
B站员工猝死,审核员之殇,谁该反省?谁该惭愧?技术层面解构内容安全审核系统(python3)
猝死,又见猝死,可怜无定河边骨,犹是春闺梦里人!每当有年轻的生命逝去,我们就会感到心中某种撕裂的感觉,惆怅万千,疼痛不已。审核专员,一个我们既熟悉又陌生的岗位,他们的疲惫,不仅仅体现在肉体上重复工作的折磨,而更多的,是精神上处于一种无知无觉的疲惫,想象一下,作为审核员,千帆阅尽之后,感动过你的一切不再感动你,吸引过你的一切不再吸引你,甚至激怒过你的一切都不再激怒你,麻木和怅惘充斥着你的工作和生活,只剩下疲于奔命,惨淡经营。而造成审核员审核过劳的因素之一,就是海量内容审核系统的设计问题。
B站员工猝死,审核员之殇,谁该反省?谁该惭愧?技术层面解构内容安全审核系统(python3)
|
JSON NoSQL 安全
漏洞赏金猎人笔记-使用自动化工具搭建攻击面监控平台的一般性思路
前言 本文是一篇笔记,原文作者是@pry0cc(已经50多岁了),本文内容主要是对原文相关内容做的笔记,出于易读性考虑,对部分字句有所删改。
418 0
漏洞赏金猎人笔记-使用自动化工具搭建攻击面监控平台的一般性思路
|
安全
英黑客侵入Zynga系统窃得价值1200万美元筹码
北京时间2月3日消息,据国外媒体报道,一名29岁的英国黑客阿什利·米切尔(Ashley Mitchell)被控非法侵入社交游戏公司Zynga的系统,在其账户中添加了4000亿虚拟扑克筹码,官方价值1200万美元,然后在黑市上抛售。
903 0
|
安全 测试技术 区块链
游戏安全资讯精选 2018年第八期:3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
6046 0
|
安全 网络架构 Windows
解构APT:高级持续性威胁的前生今世
本文讲的是解构APT:高级持续性威胁的前生今世,如果要考虑哪些要素在数据/元数据泄密方面不是那么重要,就要考虑哪些暴露的通常信息会帮助攻击者构建攻击。
1598 0