P2P网贷系统贷齐乐爆多处安全漏洞可影响大量网络贷款平台

平常闲聊时，朋友经常提到：“现在钱存银行利息低，好浪费，外边投资平台的广告到处都是，而且收益通常10%起，有啥靠谱的推荐吗?”

这个问题不太好答。朋友提到的“投资平台”，业内称作“P2P网贷”，是近两年炙手可热的行业。据各家媒体不完全统计，现在少说得有上千家公司，和当年团购领域爆发期“千团大战”的形势如出一辙。

大家都还在跑马圈地阶段，没有听说谁特别牛逼的。

当然，我是从安全角度来讲的。

在乌云平台上，有大量P2P网贷平台的漏洞，其中要么能重置任意用户密码、要么SQL注射可以直接拖库、还要么GetShell致整个网站沦陷，找个低危漏洞比高危难。

以往漏洞都是影响单个平台，今天要讲的这个刷新了纪录，它能影响数百个P2P网贷平台。

乌云平台上有白帽子提交了一个贷齐乐系统的安全漏洞（编号：WooYun-2015-132043）。提交白帽子发现，该系统多处存在SQL注射漏洞，可影响大量P2P网贷网站。

贷齐乐是一个行业通用建站系统，可以用来给P2P网贷平台搭建网站。这款系统的官网上声称，全国有70%以上的网贷网站都是用它来搭建的。在一些网贷行业媒体上，贷齐乐也经常以“专业”、“安全”、“标杆”的形象出现。

不过，这款系统并不像自己所宣传的专业和安全。在上述漏洞报告中，它一次性被发现多处SQL注射漏洞（多处>5），任意一处漏洞利用成功后都可获得网站的用户敏感数据，比如账号密码等。白帽子报告中称，贷齐乐系统存在安全防护规则，但是可以轻松绕过，如同虚设。

更令人担忧的是，白帽子已经发现100余家采用贷齐乐系统的网贷网站受到漏洞影响。而按照贷齐乐最新公开报道中拥有超过600家客户的数据来看，影响范围只会更大。

上个月的乌云白帽子大会上，乌云主站负责人疯狗曾说：“P2P网贷行业各种安全漏洞，暗雷遍布，吐槽一百年也不为过。”贷齐乐这次的漏洞可谓最“佳”例证。

目前乌云正在联系贷齐乐官方对漏洞进行修复处理，如有使用该套网贷建站系统的企业请注意官方安全通知！

暗雷拉响，谁会倒下？

漏洞编号：WooYun-2015-132043，点击原文可查看细节

本文始发于微信公众号（乌云漏洞报告平台）：P2P网贷系统贷齐乐爆多处安全漏洞可影响大量网络贷款平台