网贷人 所有网贷人都在这里
五花八门的话题与观点,尽在交流区
发帖

喜欢p2p的朋友们,希望这个没有吓死你

今天看到的吓我一身冷汗,转一下,希望大家注意风

中国P2P已经成为全世界黑客宰割的羔羊[size=16.296295166015625px]。
以数据和实际案例为你分析和解读P2P行业潜藏的资金安全隐患。

随着成交量的攀升,安全问题成为P2P常重要的问题,乌云报告显示,多家P2P平台存在信息漏洞。



金融和互联网相遇,会有着怎样的化学反应?

2015年6月底,全国共有3547家网贷平台,纳入中国P2P网贷指数统计的P2P网贷平台约为2553家,全国P2P网平台平均注册资本为2468万元。

然而,互联网在为金行业带来飞速发展的机会和空间的同时,却也因为网络应用的不断深入,带来了一堆隐藏在光亮前景背后的安全问题。

同年8月7日,乌云平台白帽子发现帝友P2P借贷系统全局问题造成多处注入,可到后台拿shell,分析数据库,已注入出后台管理员明文密码。

8月8日,知名P2P平台借贷系统贷齐乐被发现多处SQL注入影响大量P2P网贷站点,白帽子还提供了多达100+的案例以证明危害范围之广。两天后,也就是8月10日,乌云平台又爆出贷齐乐出现某处设计缺陷导致大面积注入以及几处高权限SQL注入。

帝友和贷齐乐借贷系统可以说是现在P2P行业两大主流借贷系统,据统计,现在全国百分之七十以上的借贷网站都是用贷齐乐系统搭建,并且在今年中国最大的投资理财产品点评平台76676发起的“最安全P2P网贷系统”的投票评活动中,以3372票的高票数稳居第一,占据了总票数的35%,帝友借贷系统也经常出现在P2P平台上,也就是说这两个系统一旦出现安全问题,将会危机到一大片P2P借贷网

根据世界反黑客组织的最新通报,中国P2P已经成为全世界黑客宰割的羔羊。而资金安全应当占据P2P行业安全的首要位置,本期的乌云爆告就将从网络安全技术角度,以数据和实际案例为你分析和解读P2P行业潜藏的资金安全隐患。

数据说话据乌云漏洞收集平台的数据显示,自2014年至今,平台收到的有关P2P行业漏洞总数为402个,2015年上半年累计235个,仅上半年就比去年一年长了40.7%。2014年至2015年8月乌云漏洞报告平台P2P行业漏洞数量统计(单位:个)在2014年至今的402个漏洞中,有可能影响到资金安全的漏洞就占了漏洞总数量的39%。2015年上半年中,对资金有危害的漏洞就占了今年P2P漏洞总数的43%。从以上数据我们可以看出:(1)2015年仅上半年的P2P金融行业漏洞数量就比2014年全年增长了40.7%;(2)P2P行业漏洞中,高危漏洞占了很大比例,达到56.2%之多;(3)2014年至今可能影响到资金安全的漏洞共同占了漏洞总量的46.2%,该情况在2015年依旧没有得到很好的解决,2015年上半年这样的漏洞的数量依旧占了上半年漏洞总数的44.3%,只增未减;以上P2P行业漏洞涉及到93家厂商,其中不乏很多知名的P2P网贷平台,在此就不一一列举了。
机遇和风险并行,P2P行业在飞速发展的同时,面临的安全战也是非常严峻的。Sablog作者4ngel(真名:谭登元)于2014年1月29日因通过侵入他人计算机系统,骗取多家P2P平台大量现金被逮捕,并在2015的6月25日被法院做出了终审判决,以诈骗罪分别判处郎小龙有期徒刑十一年,并处罚金人民币五十万元;判处谭登元有期徒刑五年,并处罚金人民币十万元;将郎小龙、谭登元退缴的全部犯罪所得,发还相应被害公司。谭登元曾被称为WebShell三剑客的PHPSPY的作者,安全天使站长,对安全行业曾有过较大贡献。但在2013年8月到10月之间,谭登元却同另一名黑客郎小龙侵入了多家P2P平台。他们两个分工明确,由谭登元非法侵入被害单位的网站,取得被害单位网站的后台管理系统权限,并将权限发送给郎小龙,郎小龙则用获取到的权限篡改网站投资客户的姓名、身份证号、资金记录、银行卡号等原始数据后登陆网站系统申请提现,骗取被害单位向郎小龙控制的多个账户转账。通过这样的手段,两人一共骗取人民币共计1572356.15元。
他们危害的公司名单如下:郑州树诚科技有限公司——中原贷浙江华良投资管理有限公司——爱贷网南宁安铎尔金融信息服务有限公司——紫金贷浙江涌润投资管理有限公司——涌金贷深圳旺金金融信息服务有限公司——融信财富东莞市巨印实业投资有限公司——和诚德南京明宝堂金融信息服务有限公司——保险贷淮安市融鑫金融信息咨询有限公司——乾坤贷杭州浙优民间资本理财服务有限公司——一诚贷从这个血淋淋的真实Case里,我们可以正面感受到P2P面临的网络安全风险挑战有多严峻。也许一个小的失误,就能造成一笔巨大的损失。本次的乌云爆告宗旨其实也是想要让大家正视P2P行业阳光背后的阴影,发现问题,及时止损。你的资金还安全吗?接下来我们就继续用真实案例说话,带你直击P2P行业资金的薄弱之处,案例中选了几家排名靠前的知名P2P平台,以它们为镜,正视行业安全现状。以下所有案例均为乌云平台已通知厂商进行修复并公开的漏洞。
乌云报告关于宜人贷的风险调查宜人贷是宜信公司于2012年推出的,在网贷之家P2P平台排行榜中位列第三。宜信公司作为国内最大的互联网金融企业之一,树大招风,旗下产品自然会比较引人关注。
问题一:宜人贷某处配置不当可导致数据库账号密码等敏感信息泄露这是一个因为应用配置错误造成svn泄漏,从而导致数据库帐号密码等敏感信息泄漏。SVN是Subversion的简称,是一个开放源代码的版本管理工具。从可直接访问到的svn处,所有PHP文件都可以下载查看源代码,配置文件中还泄漏了内网地址、数据库帐号密码等敏感信息。当内网地址、数据库帐号密码都被知晓了,那网站资金是不是也面临着巨大的威胁呢?小编说:从厂商的回复中可以得到,这是由于研发私自修改Nginx目录限制导致该漏洞的,虽然这个漏洞中,白帽子没有进行深入的渗透,但是的确泄漏了很重要的敏感信息,你永远不知道这些信息在黑产的手中可以挖掘出怎样巨大的利益。
问题二:某处处缺陷导致奇葩登录逻辑、爆破、恶意绑定等缺陷:在宜人贷某处可以免密码登录,随便输入一个工号就可以登录。
登录之后可以将未绑定帐号的内部帐号绑到自己的账户上,然后等奖励分钱。小编说:在测试过程中,白帽子将一个内部员工的帐号绑定到了自己的账户上,这样可以等待内部员工奖励了。总觉得和钱扯上关系的每一个点都应该被注意,哪怕只是很微小的一个地方,这样低级的逻辑错误更应该积极避免。乌云报告关于翼龙贷的风险调查龙贷网成立于2007年,总部位于北京,目前已在全国一百多个地级市设立运营中心,覆盖上千个区、县及近万个乡镇,并将在全国众多的一、二线城市建立全国性的服务网络,在网贷之家P2P平台排行榜中位列第十三。问题一:翼龙贷网某处运维不当可影响(账户安全)这是一个openssl心脏滴血漏洞,可获取用户完整的cookie,间接影响用户账户安全、资金安全。每次重放cookie都不一样,谁在线就能抓谁的了。登陆口的也可以抓到。
小编说:心脏滴血漏洞从2014年4月7日在程序员Sean Cassidy的博客上被公开到现在,也是有很长一段时间了,但网站却没有及时地打上补丁,造成用户完整cookie的泄漏,间接地影响了用户账户安全、资金安全,这样的情况可以说是网站管理者的疏忽,但P2P行业作为一个金融行业,在安全上又怎么能有半点马虎呢?毕竟也许还有很多我们没有发现的“P2Pの终结者”正躲在暗处伺机而动。
问题二:翼龙贷漏洞礼包(敏感信息泄露和密码重置漏洞):一个通过找回密码发现的安全漏洞。通过找回密码,抓包可以看到用户邮箱、余、手机号、ID等敏感信息。
只是泄漏敏感信息就完了么?然而并不是,到这里还没完。利用Email和ID,我们还可以重置用户的密码。首先用攻击者的帐号进行重置密码的操作,到输入新密码的页面停住;然后利用受害者的邮箱进行重置密码的操作;接着回到攻击者帐号重置密码的页面,输入新的密码,提交后拦截请求,将请求中的Email和ID处修改成受害者的Email和ID,之后发送请求,即可重置被害者帐号密码。
小编说:在这个漏洞里面,翼龙贷网站出现了两个失误,一是在找回密码的返回包中泄漏了用户敏感信息,为攻击者后来的重置其他用户的密码操作提供了重要信息(Email和ID),二是cookie没有和用户绑定对应,这样可不可以理解为cookie的作用并没有被发挥出来呢?从最后的图中我们可以看到,用户的账户里还是有不少余额的,如果因为网站的安全问题造成用户的损失,那网站在用户心中的信任度是不是也会跟着下降呢?
问题三:翼龙网贷再次严重设计缺陷影响任意用户账号安全: 这是一个因为考虑不够完全造成的漏洞。翼龙贷手机客户端中通过邮件找回密码时,验证码明文出现在返回包中,和邮件中给到的一模一样。小编说:网站在开发此功能时,是不是忘记数据包是可以被黑客们轻而易举地拦截到的呢?当重置密码的验证码明文出现在返回包中时,验证码的作用也就被抹杀掉了,重置别人的密码变得如此简单,你怕不怕?通过乌云平台上收集到的漏洞看来,翼龙贷在安全方面还需要更加谨慎一点,这里小编就只举了三个翼龙贷的案例,都是能够触及到用户密码、cookie等敏感信息的漏洞,而从漏洞成因看来,以上三个漏洞基本都是因为网站管理者或者开发者在对待安全时不够谨慎,考虑不够深入全面而造成的。就乌云平台上收集到的漏洞看来,翼龙贷在安全方面存在的问题还是比较多的,更需要多加重视与投入。互联网金融行业作为黑客眼中的一大肥羊,怎么可以在安全方面掉以轻心呢?安全从未停止安全对于P2P行业来说究竟有多重要呢?根据经济之声的《天下财经》报道,今年7月份P2P网贷的整体成交量达到825亿元,环比上升超过25%,同时,参与P2P网贷的投资人借款人分别达到了179万和44万人,同样大幅攀升。
拿什么去保障这些巨大的成交量以及庞大的用户群体的利益呢?截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空等。每天都有平台在因为黑客攻击而面临倒闭
虽然P2P金融行业面对的网络安全挑战在一点点变得严峻,但是似乎安全还没有被这个行业彻底地重视起来,从乌云平台收集到的漏洞我们可以看到,厂商对于一些漏洞不够重视。
乌云报告关于安心贷的风险调查安心贷重要功能设计缺陷(影响全站用户)2015年5月31日,乌云平台公开安心贷重要功能设计缺陷漏洞,该漏洞可以通过修改请求包中有关手机号码的参数,是自己的手机接收到任意用户重置密码所需的验证码,达到重置用户密码目的。该漏洞可以影响全站用户,但被厂商选择忽略。
乌云报告关于808信贷的风险调查808信贷新版更严重漏洞二(某业务可Getshell漫游内网附送SQL注入&心脏滴血)2015年6月5日乌云平台爆出8080信贷新版某业务出现一大波高危漏洞,包括getshell漫游内网、SQL注入、心脏滴血等,白帽子曾多次以用户的身份跟客服联系,提醒问题所在,但客服却不理不睬。漏洞提交到乌云平台后,漏洞也被忽略处理了。
这样的案例并不是个别的,P2P的迅速兴起使得行业并没有在安全上投入太多资源和经历,薄弱之处自然不少。安全也许只是P2P借贷平台发展的一部分,但却是最重要的一部分,也许你现在不重视的问题,会成为危及资金、危及客户群体,最后导致灭亡的那个致命因素。阅尽无数漏洞,不如真真正正地意识到安全的重要性,用最谨慎最认真的态度对待一切有可能出现的安全挑战才是P2P网贷平台不断发展壮大的关键。 安全不会就此停歇,它,从未停止。
本文摘自乌云报告,因为涉及到IT安全问题,大多数人会看不,但是本文的主要目的是告诉平台要加强平台的安全防范,规范行业健康发展。同时也告诫广大投资人注意护好自己的信息安全,尤其是密码。虽然有些平台问题自己没办法防范,但是也必须有这样的安全意识。





说得好,赏!
大爷给个赏钱吧~~您的激励是楼主前进的动力!
收藏
13条回帖 · 只看楼主
  • ylxgpyl
    15/10/01 来源:PC
    占个沙发
    俗话说,不怕贼偷就怕贼惦记
  • qiaojix31443
    15/10/01 来源:PC
    学习中,感谢楼主分享
  • philipwu51
    15/10/01 来源:PC
    p2p平台的it安全实际上和风控重要程度差不多,不过貌似没几个平台在这方面下功夫。
  • wangdaiwangzi
    15/10/01 来源:PC
    模板网站出问题最恐怖(#Д)
  • 饕餮球族
    15/10/02 来源:PC
    漏洞肯定是有的啦,自己当心就好
  • 真涅盘
    15/10/02 来源:PC
    这个嘛,也不能因为有安全隐患就撤了吧。。。尽量小心吧。因噎废食也是不可取的
  • 刀锋上的舞蹈
    15/10/02 来源:PC
    那些羊毛党注册了那么多平台,信息泄漏了不怕怕吗?
  • honghushui
    15/10/03 来源:PC
    裸奔没有办法啊
  • 非鱼机
    15/10/03 来源:PC
    让自己的高收益P2P投资之路走得更安全。
  • 周云
    15/10/03 来源:PC
    弄清楚,再出手,初涉P2P的投资者们不妨来一个系统网贷知识学习
  • 900355
    15/10/06 来源:PC
    确实挺吓人,做平台的自己开发的程序,可靠性确实不怎么样。
  • arb296314
    15/10/08 来源:PC
    我就看看不说话                                 
  • 腐竹
    15/10/09 来源:PC
    这有点恐怖啊!!!不敢投了!
我要回帖
您需要登录后才可以回帖 |立即注册

最热帖子

热帖排行
相关推荐:
嘉e贷如何让用户的账户密码更安全? 在安心投当中如何设置用户的登录密码更安全? 国盈金服用户如何增加密码的安全性? 微微金融用户如何设置密码比较安全? 万富宝用户找回支付密码时安全保护问题答案忘记了怎么办? 支付宝都曝出安全漏洞,网络理财安全吗? 购买金元宝定期理财产品时不需要输入支付密码,只输入短信安全码安全吗? 银票网如何设置密码及提高密码的安全性? 宁创贷为什么密码正确也总提示密码不对或需要重置安全问题? 为什么贡创财富密码正确也总提示密码不对或需要重置安全问题? 前佛金融密码正确,为什么登录会提示密码错误或需重置安全问题? 登录益金荣时,为什么密码正确也总提示密码不对或需要重置安全问题? 请问农业银行信用卡用密码刷卡安全还是签名刷卡安全? 在华夏银行账户追加信用卡时,输入卡交易密码提示密码错误? clin0704 2017-10-25582绿化贷用户如何修改汇付天下登录密码和交易密码? 银行卡的支付密码和金银猫账户的支付密码,如何更好的区别使用呢? 银行卡的支付密码和善林财富账户的支付密码,如何更好的区别使用呢? 微信支付安全漏洞 51信用卡安全漏洞 微信支付的安全漏洞
0/0 Name
关闭 下一步 关闭 立即体验