烏云解構(gòu)P2P平臺(tái)漏洞

　　邏輯漏洞各類型占比

　　P2P平臺(tái)影響資金安全的漏洞占比

　　近日烏云平臺(tái)整理了一份關(guān)于P2P平臺(tái)漏洞的報(bào)告，報(bào)告顯示，國(guó)內(nèi)多數(shù)P2P企業(yè)曾存在各種影響資金安全的漏洞，涉及很多知名P2P平臺(tái)，如翼龍貸、宜人貸、易貸網(wǎng)以及有利網(wǎng)等。目前，有的漏洞已經(jīng)修復(fù)，有的仍然存在。

　　根據(jù)烏云漏洞收集平臺(tái)的數(shù)據(jù)顯示，自2014年至今，平臺(tái)收到的有關(guān)P2P行業(yè)漏洞總數(shù)為402個(gè)，僅2015年上半年就有235個(gè)，僅上半年就比去年一年增長(zhǎng)了40.7%。

　　2014年至2015年8月烏云漏洞報(bào)告平臺(tái)P2P行業(yè)漏洞數(shù)量統(tǒng)計(jì)顯示，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，8.1%被廠商忽略。

　　2014年至今的4201個(gè)漏洞中，有可能影響到資金安全的漏洞就占來(lái)漏洞總數(shù)量的39%。2015年上半年中，對(duì)資金有危害的漏洞就占了今年P(guān)2P漏洞綜述的43%。

　　在邏輯漏洞中，密碼重置漏洞占60%；訪問(wèn)漏洞占40%，支付漏洞占16%，其他占20%。

　　下面六組案例大部分廠商認(rèn)同，并且已經(jīng)修復(fù)。其中，密碼重置漏洞非常普遍——

　　漏洞案例一：

　　邏輯錯(cuò)誤或設(shè)計(jì)缺陷導(dǎo)致的密碼重置漏洞

　　涉及平臺(tái)：搜易貸、翼龍貸、金海貸、和信貸、拍拍貸以及有利網(wǎng)

　　簡(jiǎn)單來(lái)說(shuō)，就是攻擊者拿著自己密碼重置的憑證重置了別的密碼。

　　比如在翼龍貸的案例中，通過(guò)找回密碼，抓包可以看到用戶的郵箱、余額、手機(jī)號(hào)、ID等敏感信息。

　　此外，利用Email 和 ID，白帽還可以重置用戶的密碼。

　　在有利網(wǎng)的案例中，由于某個(gè)參數(shù)設(shè)置的過(guò)于簡(jiǎn)單，且發(fā)送請(qǐng)求時(shí)無(wú)次數(shù)限制，可以通過(guò)爆破重置任意用戶密碼。

　　在和信貸的案例中，由于設(shè)計(jì)缺陷，重置其它用戶的密碼不需要知道用戶郵箱收到的具體URL，可以直接拼湊出重置其它用戶密碼的URL進(jìn)行密碼重置。

　　重置密碼這個(gè)類型漏洞在P2P平臺(tái)比較普遍，包含爆破類型、妙改類型以及需要與人交互類型這三種，似乎“黑客”重置用戶密碼變成一個(gè)非常簡(jiǎn)單的事情。

　　用戶的密碼都被重置了，資金還安全嗎？烏云平臺(tái)認(rèn)為，重置密碼從來(lái)都不是一件小事情，作為跟資金相關(guān)的金融平臺(tái)，密碼不僅是對(duì)用戶的一層安全保障，也是自家資金安全的門鎖之一。

　　烏云平臺(tái)建議開發(fā)人員在開發(fā)的過(guò)程中，應(yīng)該注意“保證Cookie等可以重置密碼的憑證與用戶之間的對(duì)應(yīng)關(guān)系”。

　　漏洞案例二：

　　數(shù)據(jù)庫(kù)配置錯(cuò)誤賬號(hào)密碼存泄漏風(fēng)險(xiǎn)

　　涉及平臺(tái)：宜人貸

　　今年5月，宜信旗下網(wǎng)貸平臺(tái)宜人貸某處配置不當(dāng)可導(dǎo)致數(shù)據(jù)庫(kù)賬號(hào)密碼等敏感信息泄露 ，這是一個(gè)因?yàn)閼?yīng)用配置錯(cuò)誤造成的SVN泄漏，從而導(dǎo)致數(shù)據(jù)庫(kù)賬號(hào)密碼等敏感信息泄漏。SVN是Subbersion的簡(jiǎn)稱，是一個(gè)開放源代碼的版本管理工具。

　　對(duì)于該漏洞，廠商已經(jīng)修復(fù)。并表示，漏洞系研發(fā)私自修改NGINX目錄限制導(dǎo)致，已修改，同時(shí)禁止研發(fā)使用SVN COPY。

　　漏洞案例三：

　　設(shè)計(jì)缺陷導(dǎo)致的登錄邏輯錯(cuò)誤/影響用戶賬號(hào)安全

　　涉及平臺(tái)：宜人貸、翼龍貸

　　今年5月，宜人貸某處缺陷導(dǎo)致奇葩登錄邏輯、爆破、惡意綁定等缺陷 。也就是說(shuō)，在宜人貸某處可以免密碼登錄，隨便輸入一個(gè)工號(hào)就可以登錄。登錄后，可以將未綁定賬號(hào)的內(nèi)部賬號(hào)綁到自己的賬戶上，然后等待獎(jiǎng)勵(lì)分錢。

　　該漏洞危險(xiǎn)等級(jí)低，目前已經(jīng)修復(fù)。宜人貸回復(fù)稱，此問(wèn)題為產(chǎn)品設(shè)計(jì)問(wèn)題，是已知問(wèn)題，已經(jīng)在下期更新中加入進(jìn)入個(gè)人中心時(shí)的短信驗(yàn)證。

　　在翼龍貸案例中，翼龍貸用戶通過(guò)手機(jī)客戶端郵件找回密碼，驗(yàn)證碼明文出現(xiàn)在返回包中。

　　烏云平臺(tái)認(rèn)為，涉及到錢的問(wèn)題再小也不能忽視。尤其是翼龍貸，開發(fā)人員在對(duì)待安全問(wèn)題上不夠謹(jǐn)慎，考慮不夠全面。

　　漏洞案例四：

　　運(yùn)維不當(dāng)導(dǎo)致用戶安全受威脅

　　涉及平臺(tái)：翼龍貸

　　這是一個(gè)OpenSSL心臟滴血漏洞，可以獲取用戶完整的Cookie，間接影響用戶賬戶和資金安全，可以實(shí)現(xiàn)無(wú)限獲得50元新手紅包。

　　心臟滴血漏洞2014年4月7日被程序員Sean Cassidy的博客上被公開到現(xiàn)在，已經(jīng)有很長(zhǎng)一段時(shí)間了，而翼龍貸卻沒(méi)有打上補(bǔ)丁，造成用戶完整的Cookie泄漏，間接影響用戶賬戶與資金安全。

　　漏洞案例五：

　　邏輯錯(cuò)誤導(dǎo)致無(wú)限刷紅包

　　涉及平臺(tái)：有利網(wǎng)

　　這個(gè)漏洞的白帽子給了這樣一個(gè)直接的標(biāo)簽：有利網(wǎng)刷錢漏洞。該漏洞利用了有利網(wǎng)注冊(cè)可獲50元紅包和可以任意手機(jī)號(hào)注冊(cè)兩個(gè)條件，結(jié)合Burp Suite修改相應(yīng)包的內(nèi)容，可以實(shí)現(xiàn)無(wú)限獲得50元的新手紅包。

　　烏云平臺(tái)認(rèn)為這漏洞比較難被利用，但是，在金錢的利誘下，麻煩又怕什么。但是，有利網(wǎng)方面回應(yīng)，這個(gè)漏洞不影響。于是，這個(gè)漏洞被忽略了。

　　漏洞案例六：

　　任意文件包含影響資金安全

　　涉及平臺(tái)：易貸網(wǎng)

　　在今年7月，易貸網(wǎng)存在任意文件包含，包含配置文件可以讀到物理路徑，注冊(cè)一個(gè)用戶上傳圖片，圖片中插入一句話即可getshell，然后可以接觸到十幾萬(wàn)的用戶數(shù)據(jù)，當(dāng)然有用戶賬號(hào)密碼這些跟資金相關(guān)的敏感數(shù)據(jù)。

　　文件包含漏洞是由于在引入文件時(shí)，對(duì)傳入的文件名沒(méi)有經(jīng)過(guò)合理的校驗(yàn)，或者校驗(yàn)被繞過(guò)，從而操作了預(yù)想之外的文件，就可能導(dǎo)致意外的文件泄漏甚至惡意的代碼注入。

　　針對(duì)該漏洞，今年8月易貸網(wǎng)回復(fù)稱，因啟用新域名后，老域名切換到測(cè)試環(huán)境，并臨時(shí)關(guān)閉Waf防護(hù)做滲透測(cè)試，現(xiàn)在測(cè)試完畢，漏洞早已修復(fù)，并已經(jīng)開啟了WAF防護(hù)，目前已不可利用。

　　烏云平臺(tái)認(rèn)為，當(dāng)賬號(hào)密碼被泄露，資金就會(huì)面臨安全挑戰(zhàn)，因此不能疏忽。

　　此外，還有兩個(gè)漏洞案例沒(méi)有引起廠商的注意，已經(jīng)選擇忽略——

　　1）安心貸重要功能設(shè)計(jì)缺陷（影響全站用戶）

　　手機(jī)找回密碼功能存在設(shè)計(jì)缺陷，可以重置任意用戶的密碼；安心貸已經(jīng)主動(dòng)忽略漏洞。

　　2）808信貸新版更嚴(yán)重漏洞二（某業(yè)務(wù)可Getshell漫游內(nèi)網(wǎng)附送SQL注入&心臟滴血）

　　烏云官網(wǎng)顯示，白帽多次聯(lián)系808信貸客服，然而對(duì)方不理不睬。

　　根據(jù)世界反黑客組織的最新通報(bào)，中國(guó)P2P平臺(tái)已經(jīng)成為全世界黑客宰割的羔羊，已有多起黑客盜取P2P平臺(tái)現(xiàn)金的案例發(fā)生，P2P行業(yè)資金安全問(wèn)題不可忽視。