乌云知识库乌云爆告-2015年P2P金融网站安全漏洞分析报告佳佳佳佳佳·2015/09/1610:180x00P2P安全二三事前言当金融和互联网相遇,会有着怎样的化学反应?2015年6月底,全国共有3547家网贷平台,纳入中国P2P网贷指数统计的P2P网贷平台约为2553家,全国P2P网贷平台平均注册资本为2468万元。然而,互联网在为金融行业带来飞速发展的机会和空间的同时,却也因为网络应用的不断深入,带来了一堆隐藏在光亮前景背后的安全问题。2015年8月7日,乌云平台白帽子发现帝友P2P借贷系统全局问题造成多处注入,可到后台拿shell,分析数据库,已注入出后台管理员明文密码。8月8日,知名P2P平台借贷系统贷齐乐被发现多处SQL注入可影响大量P2P网贷站点,白帽子还提供了多达100+的案例以证明危害范围之广。两天后,也就是8月10日,乌云平台上又爆出贷齐乐出现某处设计缺陷导致大面积注入以及几处高权限SQL注入。帝友和贷齐乐借贷系统可以说是现在P2P行业两大主流借贷系统,据统计,现在全国百分之七十以上的借贷网站都是用贷齐乐系统搭建的,并且在今年中国最大的投资理财产品点评平台76676发起的“最安全P2P网贷系统”的投票评选活动中,以3372票的高票数稳居第一,占据了总票数的35%,帝友借贷系统也经常出现在P2P平台上,也就是说这两个系统一旦出现安全问题,将会危机到一大片P2P借贷网站。根据世界反黑客组织的最新通报,中国P2P已经成为全世界黑客宰割的羔羊。而资金安全应当占据P2P行业安全的首要位置,本期的乌云爆告就将从网络安全技术角度,以数据和实际案例为你分析和解读P2P行业潜藏的资金安全隐患。数据说话据乌云漏洞收集平台的数据显示,自2014年至今,平台收到的有关P2P行业漏洞总数为402个,2015年上半年累计235个,仅上半年就比去年一年增长了40.7%。2014年至2015年8月乌云漏洞报告平台P2P行业漏洞数量统计(单位:个)在2014年至今的402个漏洞中,有可能影响到资金安全的漏洞就占了漏洞总数量的39%。2015年上半年中,对资金有危害的漏洞就占了今年P2P漏洞总数的43%。数字会说话,从以上数据我们可以看出:(1)2015年仅上半年的P2P金融行业漏洞数量就比2014年全年增长了40.7%;(2)P2P行业漏洞中,高危漏洞占了很大比例,达到56.2%之多;(3)2014年至今可能影响到资金安全的漏洞共同占了漏洞总量的46.2%,该情况在2015年依旧没有得到很好的解决,2015年上半年这样的漏洞的数量依旧占了上半年漏洞总数的44.3%,只增未减;以上P2P行业漏洞涉及到93家厂商,其中不乏很多知名的P2P网贷平台,在此就不一一列举了。机遇和风险并行,P2P行业在飞速发展的同时,面临的安全挑战也是非常严峻的。Sablog作者4ngel(真名:谭登元)于2014年1月29日因通过侵入他人计算机系统,骗取多家P2P平台大量现金被逮捕,并在2015的6月25日被法院做出了终审判决,以诈骗罪分别判处郎小龙有期徒刑十一年,并处罚金人民币五十万元;判处谭登元有期徒刑五年,并处罚金人民币十万元;将郎小龙、谭登元退缴的全部犯罪所得,发还相应被害公司。谭登元曾被称为WebShell三剑客的PHPSPY的作者,安全天使站长,对安全行业曾有过较大贡献。但在2013年8月到10月之间,谭登元却同另一名黑客郎小龙侵入了多家P2P平台。他们两个分工明确,由谭登元非法侵入被害单位的网站,取得被害单位网站的后台管理系统权限,并将权限发送给郎小龙,郎小龙则用获取到的权限篡改网站投资客户的姓名、身份证号、资金记录、银行卡号等原始数据后登陆网站系统申请提现,骗取被害单位向郎小龙控制的多个账户转账。通过这样的手段,两人一共骗取人民币共计1572356.15元。他们危害的公司名单如下:郑州树诚科技有限公司——中原贷浙江华良投资管理有限公司——爱贷网南宁安铎尔金融信息服务有限公司——紫金贷浙江涌润投资管理有限公司——涌金贷深圳旺金金融信息服务有限公司——融信财富东莞市巨印实业投资有限公司——和诚德南京明宝堂金融信息服务有限公司——保险贷淮安市融鑫金融信息咨询有限公司——乾坤贷杭州浙优民间资本理财服务有限公司——一诚贷从这个血淋淋的真实Case里,我们可以正面感受到P2P面临的网络安全风险挑战有多严峻。也许一个小的失误,就能造成一笔巨大的损失。本次的乌云爆告宗旨其实也是想要让大家正视P2P行业阳光背后的阴影,发现问题,及时止损。0x01你的资金还安全吗?既然要带大家发现P2P行业背后隐藏的问题,那么接下来我们就继续用真实案例说话,带你直击P2P行业资金的薄弱之处,案例中选了几家排名靠前的知名P2P平台,以它们为镜,正视行业安全现状。以下所有案例均为乌云平台已通知厂商进行修复并公开的漏洞。宜人贷宜人贷是宜信公司于2012年推出的,在网贷之家P2P平台排行榜中位列第三。宜信公司作为国内最大的互联网金融企业之一,树大招风,旗下产品自然会比较引人关注。WooYun-2015-112228宜人贷某处配置不当可导致数据库账号密码等敏感信息泄露这是一个因为应用配置错误造成svn泄漏,从而导致数据库帐号密码等敏感信息泄漏。SVN是Subversion的简称,是一个开放源代码的版本管理工具。从可直接访问到的svn处,所有PHP文件都可以下载查看源代码,配置文件中还泄漏了内网地址、数据库帐号密码等敏感信息。当内网地址、数据库帐号密码都被知晓了,那网站资金是不是也面临着巨大的威胁呢?小编说:从厂商的回复中可以得到,这是由于研发私自修改Nginx目录限制导致该漏洞的,虽然这个漏洞中,白帽子没有进行深入的渗透,但是的确泄漏了很重要的敏感信息,你永远不知道这些信息在黑产的手中可以挖掘出怎样巨大的利益。WooYun-2015-114030某处处缺陷导致奇葩登录逻辑、爆破、恶意绑定等缺陷在宜人贷某处可以免密码登录,随便输入一个工号就可以登录。登录之后可以将未绑定帐号的内部帐号绑到自己的账户上,然后等待奖励分钱。小编说:在测试过程中,白帽子将一个内部员工的帐号绑定到了自己的账户上,这样可以等待内部员工奖励了。总觉得和钱扯上关系的每一个点都应该被注意,哪怕只是很微小的一个地方,这样低级的逻辑错误更应该积极避免。翼龙贷翼龙贷网成立于2007年,总部位于北京,目前已在全国一百多个地级市设立运营中心,覆盖上千个区、县及近万个乡镇,并将在全国众多的一、二线城市建立全国性的服务网络,在网贷之家P2P平台排行榜中位列第十三。WooYun-2015-128134翼龙贷网某处运维不当可影响(账户安全)这是一个openssl心脏滴血漏洞,可获取用户完整的cookie,间接影响用户账户安全、资金安全。每次重放cookie都不一样,谁在线就能抓谁的了。登陆口的也可以抓到。小编说:心脏滴血漏洞从2014年4月7日在程序员SeanCassidy的博客上被公开到现在,也是有很长一段时间了,但网站却没有及时地打上补丁,造成用户完整cookie的泄漏,间接地影响了用户账户安全、资金安全,这样的情况可以说是网站管理者的疏忽,但P2P行业作为一个金融行业,在安全上又怎么能有半点马虎呢?毕竟也许还有很多我们没有发现的“P2Pの终结者”正躲在暗处伺机而动。WooYun-2015-124387翼龙贷漏洞礼包(敏感信息泄露和密码重置漏洞)一个通过找回密码发现的安全漏洞。通过找回密码,抓包可以看到用户邮箱、余额、手机号、ID等敏感信息。只是泄漏敏感信息就完了么?然而并不是,到这里还没完。利用Email和ID,我们还可以重置用户的密码。首先用攻击者的帐号进行重置密码的操作,到输入新密码的页面停住;然后利用受害者的邮箱进行重置密码的操作;接着回到攻击者帐号重置密码的页面,输入新的密码,提交后拦截请求,将请求中的Email和ID处修改成受害者的Email和ID,之后发送请求,即可重置被害者帐号密码。小编说:在这个漏洞里面,翼龙贷网站出现了两个失误,一是在找回密码的返回包中泄漏了用户敏感信息,为攻击者后来的重置其他用户的密码操作提供了重要信息(Email和ID),二是cookie没有和用户绑定对应,这样可不可以理解为cookie的作用并没有被发挥出来呢?从最后的图中我们可以看到,用户的账户里还是有不少余额的,如果因为网站的安全问题造成用户的损失,那网站在用户心中的信任度是不是也会跟着下降呢?WooYun-2015-119527p2p之翼龙网贷再次严重设计缺陷影响任意用户账号安全这是一个因为考虑不够完全造成的漏洞。翼龙贷手机客户端中通过邮件找回密码时,验证码明文出现在返回包中返回包中包含的验证码是不是和邮件中的验证码一模一样呢?小编说:网站在开发此功能时,是不是忘记数据包是可以被黑客们轻而易举地拦截到的呢?当重置密码的验证码明文出现在返回包中时,验证码的作用也就被抹杀掉了,重置别人的密码变得如此简单,你怕不怕?通过乌云平台上收集到的漏洞看来,翼龙贷在安全方面还需要更加谨慎一点,这里小编就只举了三个翼龙贷的案例,都是能够触及到用户密码、cookie等敏感信息的漏洞,而从漏洞成因看来,以上三个漏洞基本都是因为网站管理者或者开发者在对待安全时不够谨慎,考虑不够深入全面而造成的。就乌云平台上收集到的漏洞看来,翼龙贷在安全方面存在的问题还是比较多的,更需要多加重视与投入。互联网金融行业作为黑客眼中的一大肥羊,怎么可以在安全方面掉以轻心呢?搜易贷搜易贷是搜狐集团旗下的互联网金融平台,由搜狐畅游CEO何捷于2014年4月创办,2014年9月2日搜易贷正式上线,在网贷之家P2P平台排行榜中位列第三十九。WooYun-2015-111101p2p金融安全之搜易贷某处严重逻辑漏洞(影响用户资金安全)这是一处因为设计缺陷/逻辑错误而造成的密码重置漏洞,可以说是一个很奇葩的逻辑,下面用流程图来解释这个漏洞。简单来说,就是攻击者拿着自己密码重置的凭证重置了别人的密码,这是一个一看就是错误的逻辑,但从乌云平台收集的漏洞看,这样的漏洞不止拍拍贷有,在其它P2P平台也存在着这样的错误逻辑。这里列举几个其他借贷平台相同或相似逻辑的漏洞:WooYun-2015-113309p2p金融安全之金海贷任意用户密码重置WooYun-2015-127897P2P之和信贷存在设计缺陷可再次重置任意用户密码WooYun-2015-120673和信贷设置不当影响用户资金安全WooYun-2015-101028拍拍贷任意用户密码重置漏洞(非爆破真实账号演示)小编说:从漏洞详情中不难看出,和搜易贷出现的类似的逻辑漏洞不是唯一的,就连位于网贷之家P2P排行榜第12名的和信贷也不止一次地出现这个问题,前面出现的翼龙贷的重置密码漏洞(WooYun-2015-124387)也可以算做此类问题,都是攻击者拿着自己的凭证重置了别人的密码。用户账户密码都被重置了,那资金还会安全吗?建议开发人员在开发的过程中要注意“应该怎样保证cookie等可以重置密码的凭证与用户之间的对应关系”这样的问题,不然一不小心就会出现这样的神逻辑漏洞呢。有利网有利网是2013年2月25日上线的,目前在网贷之家P2P排行榜中位列第九名。WooYun-2014-89313有利网某业务逻辑漏洞导致可无限刷红包(红包可用于投资)这个漏洞白帽子给了一个这样的标签——有利网刷钱漏洞,和钱直白地扯上了关系。该漏洞利用了有利网注册可获50元红包和可以任意手机号注册两个条件,结合BurpSuite修改响应包的内容,可以实现无限获得50元的新手红包。小编说:这个漏洞利用起来比较麻烦,需要一次一次修改响应包的内容,但是在金钱诱惑下,这些麻烦又算什么呢?虽然最后厂商判定该漏洞无影响,但真的没有影响吗?别的P2P平台是否也存在相同的问题呢?WooYun-2013-21722[有利网也可以任意用户密码重置][31]在有利网密码重置链接中,某个参数由于设置过于简单,且发送请求时无次数限制,可以通过爆破重置任意用户密码。小编说:又是一个密码重置的漏洞。在