新寡妇村传奇,完美世界,将夜猫腻小说

欄目導(dǎo)航 Navigation

烏云解構(gòu)P2P安全漏洞密碼重置漏洞最普遍

時(shí)間： 2017-10-31 08:30:21 點(diǎn)擊數(shù): 0

近日烏云平臺(tái)整理了一份關(guān)于P2P平臺(tái)漏洞的報(bào)告。報(bào)告數(shù)據(jù)顯示，自2014年至今，平臺(tái)收到的有關(guān)P2P行業(yè)漏洞總數(shù)為402個(gè)，僅2015年上半年就有235個(gè)，僅上半年就比去年一年增長(zhǎng)了40.7%。2014年至2015年8月烏云漏洞報(bào)告平臺(tái)P2P行業(yè)漏洞數(shù)量統(tǒng)計(jì)顯示，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，8.1%被廠商忽略。

目前，有的漏洞已經(jīng)修復(fù)，有的仍然存在。

2014年至今，有可能影響到資金安全的漏洞就占來(lái)漏洞總數(shù)量的39%。2015年上半年中，對(duì)資金有危害的漏洞就占了今年P(guān)2P漏洞綜述的43%。

在邏輯漏洞中，密碼重置漏洞占60%;訪問(wèn)漏洞占40%，支付漏洞占16%，其他占20%。

下面六組案例大部分廠商認(rèn)同，并且已經(jīng)修復(fù)。其中，密碼重置漏洞非常普遍——

漏洞案例一：

邏輯錯(cuò)誤或設(shè)計(jì)缺陷導(dǎo)致的密碼重置漏洞

涉及平臺(tái)：搜易貸、翼龍貸、金海貸、和信貸、拍拍貸以及有利網(wǎng)

簡(jiǎn)單來(lái)說(shuō)，就是攻擊者拿著自己密碼重置的憑證重置了別的密碼。

比如在翼龍貸的案例中，通過(guò)找回密碼，抓包可以看到用戶的郵箱、余額、手機(jī)號(hào)、ID等敏感信息。

此外，利用Email 和 ID，白帽還可以重置用戶的密碼。

在有利網(wǎng)的案例中，由于某個(gè)參數(shù)設(shè)置的過(guò)于簡(jiǎn)單，且發(fā)送請(qǐng)求時(shí)無(wú)次數(shù)限制，可以通過(guò)爆破重置任意用戶密碼。

在和信貸的案例中，由于設(shè)計(jì)缺陷，重置其它用戶的密碼不需要知道用戶郵箱收到的具體URL，可以直接拼湊出重置其它用戶密碼的URL進(jìn)行密碼重置。

重置密碼這個(gè)類型漏洞在P2P平臺(tái)比較普遍，包含爆破類型、妙改類型以及需要與人交互類型這三種，似乎“黑客”重置用戶密碼變成一個(gè)非常簡(jiǎn)單的事情。

用戶的密碼都被重置了，資金還安全嗎?烏云平臺(tái)認(rèn)為，重置密碼從來(lái)都不是一件小事情，作為跟資金相關(guān)的金融平臺(tái)，密碼不僅是對(duì)用戶的一層安全保障，也是自家資金安全的門鎖之一。

烏云平臺(tái)建議開發(fā)人員在開發(fā)的過(guò)程中，應(yīng)該注意“保證Cookie等可以重置密碼的憑證與用戶之間的對(duì)應(yīng)關(guān)系”。

上一篇 : 網(wǎng)貸日?qǐng)?bào)：山東省長(zhǎng)說(shuō)這種平臺(tái)一聽就是詐騙

下一篇 : P2P討債經(jīng)：每天打100個(gè)電話客戶到哪跟到哪

烏云解構(gòu)P2P安全漏洞 密碼重置漏洞最普遍

烏云解構(gòu)P2P安全漏洞密碼重置漏洞最普遍