P2P漏洞风险频发 技术入门有待提高

P2P漏洞风险频发 技术入门有待提高

 

2015年9月份乌云平台整理的一份关于P2P平台漏洞的报告在业界引起巨大反响，报告一出P2P安全问题又被推向舆论顶峰，质疑声不断。数据显示，自2014年至今，平台收到的有关P2P行业漏洞总数为402个，仅2015年上半年就有235个，仅上半年就比去年一年增长了40.7%。2014年至2015年8月漏洞报告平台P2P行业漏洞数量统计显示，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，8.1%被企业忽略。

报告显示在逻辑漏洞中，访问漏洞占40%，支付漏洞占16%，其他占20%；而密码重置漏洞高达60%，由于逻辑错误或设计缺陷导致的漏洞在乌云漏洞平台中占据较大比例，攻击者利用自己密码重置获得的验证码就可以重置其他用户的密码。

P2P平台漏洞频发密码重置最普遍

今年4月，搜易贷的逻辑漏洞被白帽子上传。攻击者只需通过打开自己和他人重置密码的链接，点击修改自己的密码，在获得验证码之后，返回到他人密码重置的页面，将验证码填入，即可成功修改他人的密码，登录他人账户。另一名白帽子解释，这种漏洞是由于网站没有做到一个cookie(在浏览器的验证机制里用于验证用户身份)对应一个用户，没有将cookie与用户进行绑定，于是当两个账号同时操作的时候，网站就容易将两个网络身份搞混。

这种情况不仅存在于搜易贷，在乌云平台漏洞报告中，宜人贷、安心贷、翼龙贷等多家P2P平台均存在上述问题。

今年5月，宜人贷某处配置不当可导致数据库账号密码等敏感信息泄露，这是一个因为应用配置错误造成的SVN（开放源代码的版本管理工具）泄漏，从而导致数据库账号密码等敏感信息泄漏。几乎在同期，宜人贷某处缺陷导致奇葩登录逻辑、爆破、恶意绑定等缺陷，使宜人贷的某处可以免密码登录，随便输入一个工号就可以登录。登录后，可以将未绑定账号的内部账号绑到自己的账户上，然后等待奖励分钱。

而安心贷由于手机找回密码功能存在设计缺陷，可以重置任意用户的密码，如漏洞被利用，将影响到整个网站的用户安全。

7月，易贷网存在任意文件包含，包含配置文件可以读到物理路径，注册一个用户上传图片，图片中插入一句话即可getshell，然后可以接触到十几万的用户数据，当然有用户账号密码这些跟资金相关的敏感数据。文件包含漏洞是由于在引入文件时，对传入的文件名没有经过合理的校验，或者校验被绕过，从而操作了预想之外的文件，就可能导致意外的文件泄漏甚至恶意的代码注入。

在翼龙贷案例中，用户通过手机客户端邮件找回密码，抓包可以看到用户的邮箱、余额、手机号、ID等敏感信息。此外，利用Email和ID，白帽还可以重置用户的密码。根据世界反黑客组织的最新通报，中国P2P平台已有多起黑客盗取P2P平台现金的案例发生。

密码不仅是对用户的一层安全保障，也是自家资金安全的门锁之一。当账号密码被泄露，资金就会面临安全挑战，因此不能疏忽。

多层网站防护增强平台抵御能力

邦尼金服相关负责人指出，网络安全本是一个很尴尬的问题，因为没有绝对的安全，在我们看来，风控对互联网金融企业的意义不言而喻，但网络安全的风险与控制，也是非常重要的一部分，应引起各大平台的高度重视。为了最大限度地减小平台被攻击的可能性，应该做多层网站防护，平台本身应该实施分布式集群解决方案，完善防火墙，增加流量清洗以及入侵检测等安全措施；加强对平台24小时不间断的监测，建立高效预警机制；保持对平台的更新升级频率和漏洞的巡查修复。

值得欣慰的是，目前部分走在行业前列的P2P平台，在安全防护措施方面加大了投入。与此同时，随着行业的发展，越来越多实力“玩家”进入后，技术门槛或将有所提升。