乌云解构P2P平台漏洞：涉及翼龙贷宜人贷等

P2P平台漏洞危害情况

逻辑漏洞各类型占比

P2P平台影响资金安全的漏洞占比

　　近日乌云平台整理了一份关于P2P平台漏洞的报告，报告显示，国内多数P2P企业曾存在各种影响资金安全的漏洞，涉及很多知名P2P平台，如翼龙贷、宜人贷、易贷网以及有利网等。目前，有的漏洞已经修复，有的仍然存在。

　　根据乌云漏洞收集平台的数据显示，自2014年至今，平台收到的有关P2P行业漏洞总数为402个，仅2015年上半年就有235个，仅上半年就比去年一年增长了40.7%。

　　2014年至2015年8月乌云漏洞报告平台P2P行业漏洞数量统计显示，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，8.1%被厂商忽略。

　　2014年至今的4201个漏洞中，有可能影响到资金安全的漏洞就占来漏洞总数量的39%。2015年上半年中，对资金有危害的漏洞就占了今年P2P漏洞综述的43%。

　　在逻辑漏洞中，密码重置漏洞占60%；访问漏洞占40%，支付漏洞占16%，其他占20%。

　　下面六组案例大部分厂商认同，并且已经修复。其中，密码重置漏洞非常普遍——

　　漏洞案例一：

　　　逻辑错误或设计缺陷导致的密码重置漏洞

　　涉及平台：搜易贷、翼龙贷、金海贷、和信贷、拍拍贷以及有利网

　　简单来说，就是攻击者拿着自己密码重置的凭证重置了别的密码。

　　比如在翼龙贷的案例中，通过找回密码，抓包可以看到用户的邮箱、余额、手机号、ID等敏感信息。

　　此外，利用Email和 ID，白帽还可以重置用户的密码。

　　在有利网的案例中，由于某个参数设置的过于简单，且发送请求时无次数限制，可以通过爆破重置任意用户密码。

　　在和信贷的案例中，由于设计缺陷，重置其它用户的密码不需要知道用户邮箱收到的具体URL，可以直接拼凑出重置其它用户密码的URL进行密码重置。

　　重置密码这个类型漏洞在P2P平台比较普遍，包含爆破类型、妙改类型以及需要与人交互类型这三种，似乎“黑客”重置用户密码变成一个非常简单的事情。

　　用户的密码都被重置了，资金还安全吗？乌云平台认为，重置密码从来都不是一件小事情，作为跟资金相关的金融平台，密码不仅是对用户的一层安全保障，也是自家资金安全的门锁之一。

　　乌云平台建议开发人员在开发的过程中，应该注意“保证Cookie等可以重置密码的凭证与用户之间的对应关系”。

关键词：p2p,漏洞,互联网