導(dǎo)讀

根據(jù)Black Cloud漏洞收集平臺的數(shù)據(jù)，自2014年以來，該平臺收到的V2P行業(yè)漏洞總數(shù)在2015年上半年達(dá)到402,235，今年上半年僅為40.7％。和去年一樣。

在上述漏洞中，可能影響資金安全的漏洞數(shù)量占總數(shù)的46.2％。在2015年上半年，這一比例保持在44.3％并且沒有下降。

本報記者吳燕玉北京報道

9月16日，知名互聯(lián)網(wǎng)漏洞平臺Wuyun.com發(fā)布了P2P平臺漏洞報告。許多P2P信用平臺，包括搜索和貸款，以及信貸，翼龍和利潤網(wǎng)絡(luò)，都表示他們存在安全漏洞。

報告顯示，許多國內(nèi)P2P平臺存在安全漏洞，其中一些漏洞可能直接影響用戶的財務(wù)安全。面對這些漏洞，一些平臺選擇響應(yīng)和修復(fù)，有些平臺選擇忽略它們。

這些漏洞會給用戶和平臺帶來什么樣的危機(jī)，以及為什么漏洞仍在增加并變得更加嚴(yán)重，相關(guān)專家會解釋這種“停滯”邏輯。

　　漏洞日趨嚴(yán)峻

根據(jù)武運漏洞采集平臺的數(shù)據(jù)，截至2015年7月底，該平臺自2014年以來收到的P2P行業(yè)漏洞總數(shù)為402，今年上半年僅為40.7％。其中，高風(fēng)險漏洞占56.2％，中等風(fēng)險漏洞占23.4％，低風(fēng)險漏洞占12.3％，供應(yīng)商忽略8.1％。

在上述漏洞中，可能影響資金安全的漏洞數(shù)量占總數(shù)的46.2％。在2015年上半年，這一比例保持在44.3％并且沒有下降。

Wuyun.com曝光了12,306個用戶泄密，攜程信息泄露，天河1號等知名安全漏洞。在黑云漏洞平臺中，最常見的P2P平臺類型包括支付漏洞，密碼重置和訪問控制。其中，密碼重置占60％。

“從P2P行業(yè)開始，存在各種安全問題。如今，P2P產(chǎn)業(yè)正在獲得動力。對安全漏洞的態(tài)度更加不平衡。隨著基地的擴(kuò)大，安全問題似乎沒有改善，但情況正在惡化。 ”黑云聯(lián)合創(chuàng)始人馮溝告訴“21世紀(jì)經(jīng)濟(jì)報道”。

金山首席安全專家李鐵軍告訴“21世紀(jì)經(jīng)濟(jì)報道”，一些P2P平臺建立在一個共同的模板上。當(dāng)發(fā)生安全漏洞時，類似的網(wǎng)站將被批量入侵。

8月8日，國內(nèi)主流貸款系統(tǒng)貸款齊樂被發(fā)現(xiàn)有多個SQL（使用現(xiàn)有的應(yīng)用程序，將惡意SQL命令注入后端數(shù)據(jù)庫引擎執(zhí)行數(shù)據(jù)庫的能力），這可能會影響大量P2P在線貸款網(wǎng)站。兩天后，黑色云平臺爆發(fā)，一些地方出現(xiàn)了設(shè)計漏洞，導(dǎo)致大面積注入和幾次高權(quán)限SQL注入。借貸系統(tǒng)的安全性將影響多個P2P平臺。

根據(jù)世界反黑客組織的最新報告，中國的P2P平臺已經(jīng)成為世界黑客的屠殺，并且有很多黑客竊取P2P平臺現(xiàn)金的案例。例如，2014年1月29日，譚登元因入侵其他人的計算機(jī)系統(tǒng)并騙取大量P2P平臺現(xiàn)金而被判五年徒刑。涉及的金額為157萬。

　危險密碼解讀

　由于邏輯錯誤或設(shè)計缺陷導(dǎo)致的漏洞占云漏洞平臺的很大一部分。攻擊者可以使用通過重置密碼獲得的驗證碼重置其他用戶的密碼。

在今年4月，黑云白帽（即前黑客可以識別計算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但不會惡意使用它們，但宣布其漏洞）“經(jīng)理“上傳了搜索貸款的邏輯漏洞。攻擊者只需打開自己與他人之間的鏈接即可重置密碼，點擊修改密碼，獲取驗證碼后，返回密碼重置頁面，填寫驗證碼即可成功修改密碼。另一個人的密碼。登錄其他帳戶。

White Cloud 303告訴“21世紀(jì)經(jīng)濟(jì)報道”，該漏洞是由于網(wǎng)站沒有cookie（用于在瀏覽器的身份驗證機(jī)制中對用戶進(jìn)行身份驗證）而不將cookie綁定到用戶，因此當(dāng)兩個帳戶同時運行時，網(wǎng)站很容易混淆兩個網(wǎng)絡(luò)身份。

針對上述漏洞，Search Easy Loan在黑云平臺上做出回應(yīng)，稱“該漏洞已轉(zhuǎn)移到搜索和貸款公司”。記者聯(lián)系了搜狗，了解漏洞修復(fù)情況，但沒有收到平臺的相關(guān)回復(fù)。

這種情況不僅存在于尋求輕松貸款，而且還存在于黑云漏洞平臺，金海貸款，信貸，拍賣等P2P平臺都存在上述問題。

在這方面，9月16日下午，“21世紀(jì)經(jīng)濟(jì)報道”了解了云運網(wǎng)報道中提到的一些網(wǎng)站的漏洞。記者聯(lián)系了搜索輕松貸款和信貸。搜索簡單的貸款促使記者發(fā)送電子郵件，但在發(fā)布時，他們沒有收到回復(fù)。此外，信用卡提供的電子郵件地址顯然不正確。記者發(fā)了三封電子郵件，由系統(tǒng)退回。因此，再次聯(lián)系信用方的人，對方堅持認(rèn)為郵箱是正確的，但不愿意轉(zhuǎn)移記者的意愿打電話給相關(guān)負(fù)責(zé)人。

在這方面，黑云漏洞平臺建議Web開發(fā)人員應(yīng)該關(guān)注開發(fā)過程，如何確保憑證與其他可以重置密碼的用戶之間的對應(yīng)關(guān)系。 “如果站點具有cookie和用戶的一對一綁定，則可以輕松避免此問題。 ”白帽子303說。

密碼仍然存在許多漏洞。

今年5月云計算已經(jīng)公開了信用，任何用戶密碼都可以重置，因為可以繞過一些關(guān)鍵步驟。正常的密碼重置過程應(yīng)分為“輸入圖形驗證碼，發(fā)送短信驗證碼，輸入驗證碼，復(fù)位”，并在信用過程中，直接繞過驗證過程的第三步。一旦攻擊者無需身份驗證即可重置用戶密碼。 White Hat 303介紹說，在這個漏洞中，SMS驗證碼沒有起到驗證作用。

根據(jù)Wuyun.com的說法，一般密碼重置分為輸入用戶名，驗證身份，重置密碼和完成四個步驟。重置密碼的漏洞分為三種類型：爆破，第二次更改和與人交互。

其中，爆破（即暴力破解，通過工具猜測用戶密碼）包括兩種手機(jī)驗證碼和郵箱驗證碼。手機(jī)驗證碼漏洞更為常見。通常，驗證設(shè)計過于簡單，并且對檢查代碼的使用次數(shù)沒有限制。因此，可以枚舉和彈出正確的驗證碼以重置密碼。

例如，在2013年4月，有利的網(wǎng)絡(luò)被暴露，因為某個參數(shù)的設(shè)置過于簡單，并且發(fā)送請求的次數(shù)沒有限制，并且任何用戶密碼都可以通過爆破重置。

White Hat 303介紹了黑客習(xí)慣收集詞典，這將形成一般的密碼庫。在這種情況下，它們可能會與庫發(fā)生沖突（黑客通過在網(wǎng)絡(luò)上收集泄露的用戶名和密碼來生成相應(yīng)的詞典）。表，嘗試登錄其他站點，獲取一批可以登錄的用戶帳戶和密碼）以達(dá)到攻擊的目的。

當(dāng)用戶單擊以發(fā)送驗證碼時發(fā)生爆破郵箱漏洞，并且數(shù)據(jù)包在后臺生成。攻擊者可以通過攔截數(shù)據(jù)包并查看鏈接來重置密碼。

對于這種密碼重置系列漏洞，李鐵軍表示這是一個高風(fēng)險的漏洞，因為攻擊者可以獲得其他財富管理用戶的密碼。如果平臺的資金沒有退回，攻擊者將有機(jī)會獲取資金并將其提取到其他銀行賬戶。

FengGou表示，大多數(shù)漏洞都是由于缺乏安全意識和可靠的安全執(zhí)行，并且存在可以避免的共性。

在這方面，吳云建議P2P平臺應(yīng)該對自己做一個大的檢查。重置密碼永遠(yuǎn)不是一件小事。作為與融資相關(guān)的第三方平臺，密碼不僅是用戶的安全層，也是其自身的安全層。金融安全的門鎖之一。

　　攻擊從未停止

根據(jù)黑云報告，截至2014年底，由于黑客入侵，惡意篡改以及資金被搶劫，近165個P2P平臺陷入癱瘓。每天，該平臺因黑客攻擊而面臨破產(chǎn)。

雖然P2P金融行業(yè)面臨的安全問題已經(jīng)變得更加嚴(yán)重，但安全問題并未在該行業(yè)中得到充分重視。從黑云漏洞平臺可以看出，一些實際控制器對漏洞沒有任何重要性。

5月31日，烏云公布了安信貸款的重要功能設(shè)計缺陷。可以修改漏洞以滿足請求包中的移動電話號碼，使得移動電話可以接收任何用戶重置面所需的驗證碼以重置用戶密碼。可能影響站點所有用戶的目的是供應(yīng)商忽略該漏洞。

針對這個問題，安新貸款的客服人員告訴“21世紀(jì)經(jīng)營報告”，如果出現(xiàn)問題，相關(guān)同事肯定會第一時間處理。然而，截至發(fā)稿時，制造商尚未確定黑云漏洞平臺的漏洞。

6月5日，黑云在新版8080信用卡中爆發(fā)了新一波高風(fēng)險漏洞，包括gethell（訪問權(quán)限）漫游內(nèi)網(wǎng)，SQL注入和其他問題，但該漏洞仍被供應(yīng)商忽略。

目前，對脆弱性的態(tài)度相對積極，但仍有更多的傳統(tǒng)企業(yè)思想來掩蓋安全事件。馮溝表示，希望公司本身可以負(fù)責(zé)用戶信息和財務(wù)安全，并且必須有第三方可靠的監(jiān)管機(jī)構(gòu)進(jìn)行監(jiān)督。

如何防止這種情況再次發(fā)生？李鐵軍告訴記者，這首先需要用戶和平臺的雙重關(guān)注。用戶需要充分了解平臺信息泄露后可能出現(xiàn)的平臺和風(fēng)險。該平臺需要與專業(yè)安全公司合作，以解決信息泄露的風(fēng)險。

« 《馬里奧網(wǎng)球Aces》更新3.0版的論壇主題！新開幕動畫節(jié)目 | 谷歌：帶寬速度足以在云端玩游戲！ Stadia平臺不會登陸中國！ »