乌云报告：多家P2P平台存资金安全隐患

0x00 背景

当金融和互联网相遇，会有着怎样的化学反应？

2015年6月底，全国共有3547家网贷平台，纳入中国P2P网贷指数统计的P2P网贷平台约为2553家，全国P2P网贷平台平均注册资本为2468万元。

然而，互联网在为金融行业带来飞速发展的机会和空间的同时，却也因为网络应用的不断深入，带来了一堆隐藏在光亮前景背后的安全问题。

同年8月7日，乌云平台白帽子发现帝友P2P借贷系统全局问题造成多处注入，可到后台拿shell，分析数据库，已注入出后台管理员明文密码。

8月8日，知名P2P平台借贷系统贷齐乐被发现多处SQL注入可影响大量P2P网贷站点，白帽子还提供了多达100+的案例以证明危害范围之广。两天后，也就是8月10日，乌云平台上又爆出贷齐乐出现某处设计缺陷导致大面积注入以及几处高权限SQL注入。

帝友和贷齐乐借贷系统可以说是现在P2P行业两大主流借贷系统，据统计，现在全国百分之七十以上的借贷网站都是用贷齐乐系统搭建的，并且在今年中国最大的投资理财产品点评平台76676发起的“最安全P2P网贷系统”的投票评选活动中，以3372票的高票数稳居第一，占据了总票数的35%，帝友借贷系统也经常出现在P2P平台上，也就是说这两个系统一旦出现安全问题，将会危机到一大片P2P借贷网站。

根据世界反黑客组织的最新通报，中国P2P已经成为全世界黑客宰割的羔羊。而资金安全应当占据P2P行业安全的首要位置，本期的乌云爆告就将从网络安全技术角度，以数据和实际案例为你分析和解读P2P行业潜藏的资金安全隐患。

数据说话

据乌云漏洞收集平台的数据显示，自2014年至今，平台收到的有关P2P行业漏洞总数为402个，2015年上半年累计235个，仅上半年就比去年一年增长了40.7%。

2014年至2015年8月乌云漏洞报告平台P2P行业漏洞数量统计（单位：个）

在2014年至今的402个漏洞中，有可能影响到资金安全的漏洞就占了漏洞总数量的39%。2015年上半年中，对资金有危害的漏洞就占了今年P2P漏洞总数的43%。

数字会说话，从以上数据我们可以看出：

（1）2015年仅上半年的P2P金融行业漏洞数量就比2014年全年增长了40.7%；

（2）P2P行业漏洞中，高危漏洞占了很大比例，达到56.2%之多；

（3）2014年至今可能影响到资金安全的漏洞共同占了漏洞总量的46.2%，该情况在2015年依旧没有得到很好的解决，2015年上半年这样的漏洞的数量依旧占了上半年漏洞总数的44.3%，只增未减；

以上P2P行业漏洞涉及到93家厂商，其中不乏很多知名的P2P网贷平台，在此就不一一列举了。

机遇和风险并行，P2P行业在飞速发展的同时，面临的安全挑战也是非常严峻的。

Sablog作者4ngel（真名：谭登元）于2014年1月29日因通过侵入他人计算机系统，骗取多家P2P平台大量现金被逮捕，并在2015的6月25日被法院做出了终审判决，以诈骗罪分别判处郎小龙有期徒刑十一年，并处罚金人民币五十万元；判处谭登元有期徒刑五年，并处罚金人民币十万元；将郎小龙、谭登元退缴的全部犯罪所得，发还相应被害公司。

谭登元曾被称为WebShell三剑客的PHPSPY的作者，安全天使站长，对安全行业曾有过较大贡献。但在2013年8月到10月之间，谭登元却同另一名黑客郎小龙侵入了多家P2P平台。他们两个分工明确，由谭登元非法侵入被害单位的网站，取得被害单位网站的后台管理系统权限，并将权限发送给郎小龙，郎小龙则用获取到的权限篡改网站投资客户的姓名、身份证号、资金记录、银行卡号等原始数据后登陆网站系统申请提现，骗取被害单位向郎小龙控制的多个账户转账。通过这样的手段，两人一共骗取人民币共计1572356.15元。

他们危害的公司名单如下：

郑州树诚科技有限公司——中原贷

浙江华良投资管理有限公司——爱贷网

南宁安铎尔金融信息服务有限公司——紫金贷

浙江涌润投资管理有限公司——涌金贷

深圳旺金金融信息服务有限公司——融信财富

东莞市巨印实业投资有限公司——和诚德

南京明宝堂金融信息服务有限公司——保险贷

淮安市融鑫金融信息咨询有限公司——乾坤贷

杭州浙优民间资本理财服务有限公司——一诚贷

从这个血淋淋的真实Case里，我们可以正面感受到P2P面临的网络安全风险挑战有多严峻。也许一个小的失误，就能造成一笔巨大的损失。本次的乌云爆告宗旨其实也是想要让大家正视P2P行业阳光背后的阴影，发现问题，及时止损。

0x01 你的资金还安全吗？

既然要带大家发现P2P行业背后隐藏的问题，那么接下来我们就继续用真实案例说话，带你直击P2P行业资金的薄弱之处，案例中选了几家排名靠前的知名P2P平台，以它们为镜，正视行业安全现状。以下所有案例均为乌云平台已通知厂商进行修复并公开的漏洞。

宜人贷

宜人贷是宜信公司于2012年推出的，在网贷之家P2P平台排行榜中位列第三。宜信公司作为国内最大的互联网金融企业之一，树大招风，旗下产品自然会比较引人关注。

WooYun-2015-112228：宜人贷某处配置不当可导致数据库账号密码等敏感信息泄露

这是一个因为应用配置错误造成svn泄漏，从而导致数据库帐号密码等敏感信息泄漏。SVN是Subversion的简称，是一个开放源代码的版本管理工具。

从可直接访问到的svn处，所有PHP文件都可以下载查看源代码，配置文件中还泄漏了内网地址、数据库帐号密码等敏感信息。

当内网地址、数据库帐号密码都被知晓了，那网站资金是不是也面临着巨大的威胁呢？

小编说：从厂商的回复中可以得到，这是由于研发私自修改Nginx目录限制导致该漏洞的，虽然这个漏洞中，白帽子没有进行深入的渗透，但是的确泄漏了很重要的敏感信息，你永远不知道这些信息在黑产的手中可以挖掘出怎样巨大的利益。

WooYun-2015-114030：某处处缺陷导致奇葩登录逻辑、爆破、恶意绑定等缺陷

在宜人贷某处可以免密码登录，随便输入一个工号就可以登录。

登录之后可以将未绑定帐号的内部帐号绑到自己的账户上，然后等待奖励分钱。

小编说：在测试过程中，白帽子将一个内部员工的帐号绑定到了自己的账户上，这样可以等待内部员工奖励了。总觉得和钱扯上关系的每一个点都应该被注意，哪怕只是很微小的一个地方，这样低级的逻辑错误更应该积极避免。

翼龙贷

翼龙贷网成立于2007年，总部位于北京，目前已在全国一百多个地级市设立运营中心，覆盖上千个区、县及近万个乡镇，并将在全国众多的一、二线城市建立全国性的服务网络，在网贷之家P2P平台排行榜中位列第十三。

WooYun-2015-128134：翼龙贷网某处运维不当可影响（账户安全）

这是一个openssl心脏滴血漏洞，可获取用户完整的cookie，间接影响用户账户安全、资金安全。

每次重放cookie都不一样，谁在线就能抓谁的了。登陆口的也可以抓到。

小编说：心脏滴血漏洞从2014年4月7日在程序员Sean Cassidy的博客上被公开到现在，也是有很长一段时间了，但网站却没有及时地打上补丁，造成用户完整cookie的泄漏，间接地影响了用户账户安全、资金安全，这样的情况可以说是网站管理者的疏忽，但P2P行业作为一个金融行业，在安全上又怎么能有半点马虎呢？毕竟也许还有很多我们没有发现的“P2Pの终结者”正躲在暗处伺机而动。

WooYun-2015-124387：翼龙贷漏洞礼包（敏感信息泄露和密码重置漏洞）

一个通过找回密码发现的安全漏洞。

通过找回密码，抓包可以看到用户邮箱、余额、手机号、ID等敏感信息。

只是泄漏敏感信息就完了么？然而并不是，到这里还没完。利用Email和ID，我们还可以重置用户的密码。

首先用攻击者的帐号进行重置密码的操作，到输入新密码的页面停住；然后利用受害者的邮箱进行重置密码的操作；

接着回到攻击者帐号重置密码的页面，输入新的密码，提交后拦截请求，将请求中的Email和ID处修改成受害者的Email和ID，之后发送请求，即可重置被害者帐号密码。

小编说：在这个漏洞里面，翼龙贷网站出现了两个失误，一是在找回密码的返回包中泄漏了用户敏感信息，为攻击者后来的重置其他用户的密码操作提供了重要信息（Email和ID），二是cookie没有和用户绑定对应，这样可不可以理解为cookie的作用并没有被发挥出来呢？从最后的图中我们可以看到，用户的账户里还是有不少余额的，如果因为网站的安全问题造成用户的损失，那网站在用户心中的信任度是不是也会跟着下降呢？

WooYun-2015-119527：p2p之翼龙网贷再次严重设计缺陷影响任意用户账号安全

这是一个因为考虑不够完全造成的漏洞。

翼龙贷手机客户端中通过邮件找回密码时，验证码明文出现在返回包中，和邮件中给到的一模一样。

小编说：网站在开发此功能时，是不是忘记数据包是可以被黑客们轻而易举地拦截到的呢？当重置密码的验证码明文出现在返回包中时，验证码的作用也就被抹杀掉了，重置别人的密码变得如此简单，你怕不怕？

通过乌云平台上收集到的漏洞看来，翼龙贷在安全方面还需要更加谨慎一点，这里小编就只举了三个翼龙贷的案例，都是能够触及到用户密码、cookie等敏感信息的漏洞，而从漏洞成因看来，以上三个漏洞基本都是因为网站管理者或者开发者在对待安全时不够谨慎，考虑不够深入全面而造成的。就乌云平台上收集到的漏洞看来，翼龙贷在安全方面存在的问题还是比较多的，更需要多加重视与投入。互联网金融行业作为黑客眼中的一大肥羊，怎么可以在安全方面掉以轻心呢？

0x02 安全从未停止

安全对于P2P行业来说究竟有多重要呢？

根据经济之声的《天下财经》报道，今年7月份P2P网贷的整体成交量达到825亿元，环比上升超过25%，同时，参与P2P网贷的投资人和借款人分别达到了179万和44万人，同样大幅攀升。

拿什么去保障这些巨大的成交量以及庞大的用户群体的利益呢？截至2014年底，已有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空等。每天都有平台在因为黑客攻击而面临倒闭。

虽然P2P金融行业面对的网络安全挑战在一点点变得严峻，但是似乎安全还没有被这个行业彻底地重视起来，从乌云平台收集到的漏洞我们可以看到，厂商对于一些漏洞不够重视。

WooYun-2015-115425：p2p金融安全之安心贷重要功能设计缺陷(影响全站用户)

2015年5月31日，乌云平台公开安心贷重要功能设计缺陷漏洞，该漏洞可以通过修改请求包中有关手机号码的参数，是自己的手机接收到任意用户重置密码所需的验证码，达到重置用户密码目的。该漏洞可以影响全站用户，但被厂商选择忽略。

WooYun-2015-118355：p2p金融安全之808信贷新版更严重漏洞二(某业务可Getshell漫游内网附送SQL注入&心脏滴血)

2015年6月5日乌云平台爆出8080信贷新版某业务出现一大波高危漏洞，包括getshell漫游内网、SQL注入、心脏滴血等，白帽子曾多次以用户的身份跟客服联系，提醒问题所在，但客服却不理不睬。漏洞提交到乌云平台后，漏洞也被忽略处理了。

这样的案例并不是个别的，P2P的迅速兴起使得行业并没有在安全上投入太多资源和经历，薄弱之处自然不少。

安全也许只是P2P借贷平台发展的一部分，但却是最重要的一部分，也许你现在不重视的问题，会成为危及资金、危及客户群体，最后导致灭亡的那个致命因素。

阅尽无数漏洞，不如真真正正地意识到安全的重要性，用最谨慎最认真的态度对待一切有可能出现的安全挑战才是P2P网贷平台不断发展壮大的关键。 安全不会就此停歇，它，从未停止。

0x03 贡献者

撰写第一期乌云爆告的到了很多小伙伴的帮助，感谢这些小伙伴对本次爆告的关注和为撰写做出的贡献。

netwind	乌云白帽子（漏洞案例作者）
Martes	乌云白帽子（漏洞案例作者）
糖剩七颗	乌云白帽子（漏洞案例作者）
忽然之间	乌云白帽子（漏洞案例作者）
BMa	乌云白帽子（漏洞案例作者）
恋锋	乌云白帽子（漏洞案例作者）
北京方便面	乌云白帽子（漏洞案例作者）
px1624	乌云白帽子（漏洞案例作者&福利Tips作者）
杀器王子	乌云白帽子（漏洞案例作者）
her0ma	乌云白帽子（漏洞案例作者）
管管侠	乌云白帽子（漏洞案例作者）
从容	乌云白帽子
子非海绵宝宝	乌云白帽子
疯狗	乌云白帽子
wudi	乌云白帽子
皂皂	乌云爆告设计者

P.S：欢迎各位对第一期乌云爆告提出自己的见解和建议，您可以通过邮箱联系我们，我们的邮箱地址是[email protected]

为照顾用户体验，部分内容已做精简。欲了解更多风险案例，可点击原文查看。

本文始发于微信公众号（乌云漏洞报告平台）：乌云报告：多家P2P平台存资金安全隐患