发布时间:2022-7-22 分类: 电商动态
导读
根据Black Cloud漏洞收集平台的数据,自2014年以来,该平台收到的V2P行业漏洞总数在2015年上半年达到402,235,今年上半年仅为40.7%。和去年一样。
在上述漏洞中,可能影响资金安全的漏洞数量占总数的46.2%。在2015年上半年,这一比例保持在44.3%并且没有下降。
本报记者吴燕玉北京报道
9月16日,知名互联网漏洞平台Wuyun.com发布了P2P平台漏洞报告。许多P2P信用平台,包括搜索和贷款,以及信贷,翼龙和利润网络,都表示他们存在安全漏洞。
报告显示,许多国内P2P平台存在安全漏洞,其中一些漏洞可能直接影响用户的财务安全。面对这些漏洞,一些平台选择响应和修复,有些平台选择忽略它们。
这些漏洞会给用户和平台带来什么样的危机,以及为什么漏洞仍在增加并变得更加严重,相关专家会解释这种“停滞”逻辑。
漏洞日趋严峻
根据武运漏洞采集平台的数据,截至2015年7月底,该平台自2014年以来收到的P2P行业漏洞总数为402,今年上半年仅为40.7%。其中,高风险漏洞占56.2%,中等风险漏洞占23.4%,低风险漏洞占12.3%,供应商忽略8.1%。
在上述漏洞中,可能影响资金安全的漏洞数量占总数的46.2%。在2015年上半年,这一比例保持在44.3%并且没有下降。
Wuyun.com曝光了12,306个用户泄密,携程信息泄露,天河1号等知名安全漏洞。在黑云漏洞平台中,最常见的P2P平台类型包括支付漏洞,密码重置和访问控制。其中,密码重置占60%。
“从P2P行业开始,存在各种安全问题。如今,P2P产业正在获得动力。对安全漏洞的态度更加不平衡。随着基地的扩大,安全问题似乎没有改善,但情况正在恶化。 ”黑云联合创始人冯沟告诉“21世纪经济报道”。
金山首席安全专家李铁军告诉“21世纪经济报道”,一些P2P平台建立在一个共同的模板上。当发生安全漏洞时,类似的网站将被批量入侵。
8月8日,国内主流贷款系统贷款齐乐被发现有多个SQL(使用现有的应用程序,将恶意SQL命令注入后端数据库引擎执行数据库的能力),这可能会影响大量P2P在线贷款网站。两天后,黑色云平台爆发,一些地方出现了设计漏洞,导致大面积注入和几次高权限SQL注入。借贷系统的安全性将影响多个P2P平台。
根据世界反黑客组织的最新报告,中国的P2P平台已经成为世界黑客的屠杀,并且有很多黑客窃取P2P平台现金的案例。例如,2014年1月29日,谭登元因入侵其他人的计算机系统并骗取大量P2P平台现金而被判五年徒刑。涉及的金额为157万。
危险密码解读
由于逻辑错误或设计缺陷导致的漏洞占云漏洞平台的很大一部分。攻击者可以使用通过重置密码获得的验证码重置其他用户的密码。
在今年4月,黑云白帽(即前黑客可以识别计算机系统或网络系统中的安全漏洞,但不会恶意使用它们,但宣布其漏洞)“经理“上传了搜索贷款的逻辑漏洞。攻击者只需打开自己与他人之间的链接即可重置密码,点击修改密码,获取验证码后,返回密码重置页面,填写验证码即可成功修改密码。另一个人的密码。登录其他帐户。
White Cloud 303告诉“21世纪经济报道”,该漏洞是由于网站没有cookie(用于在浏览器的身份验证机制中对用户进行身份验证)而不将cookie绑定到用户,因此当两个帐户同时运行时,网站很容易混淆两个网络身份。
针对上述漏洞,Search Easy Loan在黑云平台上做出回应,称“该漏洞已转移到搜索和贷款公司”。记者联系了搜狗,了解漏洞修复情况,但没有收到平台的相关回复。
这种情况不仅存在于寻求轻松贷款,而且还存在于黑云漏洞平台,金海贷款,信贷,拍卖等P2P平台都存在上述问题。
在这方面,9月16日下午,“21世纪经济报道”了解了云运网报道中提到的一些网站的漏洞。记者联系了搜索轻松贷款和信贷。搜索简单的贷款促使记者发送电子邮件,但在发布时,他们没有收到回复。此外,信用卡提供的电子邮件地址显然不正确。记者发了三封电子邮件,由系统退回。因此,再次联系信用方的人,对方坚持认为邮箱是正确的,但不愿意转移记者的意愿打电话给相关负责人。
在这方面,黑云漏洞平台建议Web开发人员应该关注开发过程,如何确保凭证与其他可以重置密码的用户之间的对应关系。 “如果站点具有cookie和用户的一对一绑定,则可以轻松避免此问题。 ”白帽子303说。
密码仍然存在许多漏洞。
今年5月云计算已经公开了信用,任何用户密码都可以重置,因为可以绕过一些关键步骤。正常的密码重置过程应分为“输入图形验证码,发送短信验证码,输入验证码,复位”,并在信用过程中,直接绕过验证过程的第三步。一旦攻击者无需身份验证即可重置用户密码。 White Hat 303介绍说,在这个漏洞中,SMS验证码没有起到验证作用。
根据Wuyun.com的说法,一般密码重置分为输入用户名,验证身份,重置密码和完成四个步骤。重置密码的漏洞分为三种类型:爆破,第二次更改和与人交互。
其中,爆破(即暴力破解,通过工具猜测用户密码)包括两种手机验证码和邮箱验证码。手机验证码漏洞更为常见。通常,验证设计过于简单,并且对检查代码的使用次数没有限制。因此,可以枚举和弹出正确的验证码以重置密码。
例如,在2013年4月,有利的网络被暴露,因为某个参数的设置过于简单,并且发送请求的次数没有限制,并且任何用户密码都可以通过爆破重置。
White Hat 303介绍了黑客习惯收集词典,这将形成一般的密码库。在这种情况下,它们可能会与库发生冲突(黑客通过在网络上收集泄露的用户名和密码来生成相应的词典)。表,尝试登录其他站点,获取一批可以登录的用户帐户和密码)以达到攻击的目的。
当用户单击以发送验证码时发生爆破邮箱漏洞,并且数据包在后台生成。攻击者可以通过拦截数据包并查看链接来重置密码。
对于这种密码重置系列漏洞,李铁军表示这是一个高风险的漏洞,因为攻击者可以获得其他财富管理用户的密码。如果平台的资金没有退回,攻击者将有机会获取资金并将其提取到其他银行账户。
FengGou表示,大多数漏洞都是由于缺乏安全意识和可靠的安全执行,并且存在可以避免的共性。
在这方面,吴云建议P2P平台应该对自己做一个大的检查。重置密码永远不是一件小事。作为与融资相关的第三方平台,密码不仅是用户的安全层,也是其自身的安全层。金融安全的门锁之一。
攻击从未停止
根据黑云报告,截至2014年底,由于黑客入侵,恶意篡改以及资金被抢劫,近165个P2P平台陷入瘫痪。每天,该平台因黑客攻击而面临破产。
虽然P2P金融行业面临的安全问题已经变得更加严重,但安全问题并未在该行业中得到充分重视。从黑云漏洞平台可以看出,一些实际控制器对漏洞没有任何重要性。
5月31日,乌云公布了安信贷款的重要功能设计缺陷。可以修改漏洞以满足请求包中的移动电话号码,使得移动电话可以接收任何用户重置面所需的验证码以重置用户密码。可能影响站点所有用户的目的是供应商忽略该漏洞。
针对这个问题,安新贷款的客服人员告诉“21世纪经营报告”,如果出现问题,相关同事肯定会第一时间处理。然而,截至发稿时,制造商尚未确定黑云漏洞平台的漏洞。
6月5日,黑云在新版8080信用卡中爆发了新一波高风险漏洞,包括gethell(访问权限)漫游内网,SQL注入和其他问题,但该漏洞仍被供应商忽略。
目前,对脆弱性的态度相对积极,但仍有更多的传统企业思想来掩盖安全事件。冯沟表示,希望公司本身可以负责用户信息和财务安全,并且必须有第三方可靠的监管机构进行监督。
如何防止这种情况再次发生?李铁军告诉记者,这首先需要用户和平台的双重关注。用户需要充分了解平台信息泄露后可能出现的平台和风险。该平台需要与专业安全公司合作,以解决信息泄露的风险。
« 《马里奥网球Aces》更新3.0版的论坛主题!新开幕动画节目 | 谷歌:带宽速度足以在云端玩游戏! Stadia平台不会登陆中国! »