解构P2P安全漏洞:乌云称密码重置漏洞最普遍
【摘要】近日乌云平台整理了一份关于P2P平台漏洞的报告。报告数据显示,自2014年至今,平台收到的有关P2P行业漏洞总数为402个,仅2015年上半年就有235个,仅上半年就比去年一年增长了40.7%。2014年至2015年8月乌云漏洞报告平台P2P行业漏洞数量统计显示,高危漏洞占56.2%,中危漏洞占23.4%,低危漏洞占12.3%,8.1%被厂商忽略。
近日乌云平台整理了一份关于P2P平台漏洞的报告。报告数据显示,自2014年至今,平台收到的有关P2P行业漏洞总数为402个,仅2015年上半年就有235个,仅上半年就比去年一年增长了40.7%。2014年至2015年8月乌云漏洞报告平台P2P行业漏洞数量统计显示,高危漏洞占56.2%,中危漏洞占23.4%,低危漏洞占12.3%,8.1%被厂商忽略。
目前,记者深入调查了解到,有的漏洞已经修复,有的仍然存在。根据相关数据,可以看出,2014年至今,有可能影响到资金安全的漏洞就占了漏洞总数量的39%。2015年上半年中,对资金有危害的漏洞就占了今年P2P漏洞总数的43%。在逻辑漏洞中,密码重置漏洞占60%;访问漏洞占40%,支付漏洞占16%,其他占20%。
【剖析平台漏洞案例】
记者专门对大部分P2P平台漏洞的案例进行了整理,下面六组案例大部分厂商认同,并且已经修复。其中,密码重置漏洞非常普遍。
漏洞案例之一就是逻辑错误或设计缺陷导致的密码重置漏洞。在这一起案例中,涉及的平台包括:搜易贷、翼龙贷、金海贷、和信贷、拍拍贷以及有利网,简单来说,就是攻击者拿着自己密码重置的凭证重置了别的密码。比如在翼龙贷的案例中,通过找回密码,抓包可以看到用户的邮箱、余额、手机号、ID等敏感信息。
此外,利用Email 和 ID,白帽还可以重置用户的密码。在有利网的案例中,由于某个参数设置的过于简单,且发送请求时无次数限制,可以通过爆破重置任意用户密码。
在和信贷的案例中,由于设计缺陷,重置其它用户的密码不需要知道用户邮箱收到的具体URL,可以直接拼凑出重置其它用户密码的URL进行密码重置。
重置密码这个类型漏洞在P2P平台比较普遍,包含爆破类型、妙改类型以及需要与人交互类型这三种,似乎“黑客”重置用户密码变成一个非常简单的事情。
关于一个重要问题:用户的密码都被重置了,资金是否还安全。乌云平台认为,重置密码从来都不是一件小事情,作为跟资金相关的金融平台,密码不仅是对用户的一层安全保障,也是自家资金安全的门锁之一。
对此次调查揭露,乌云平台建议开发人员在开发的过程中,应该注意“保证Cookie等可以重置密码的凭证与用户之间的对应关系”。