对此,乌云漏洞平台建议,网站开发人员在开发的过程中要注意,应该怎样保证cookie等可以重置密码的凭证与用户之间的对应关系。“如果网站对cookie和用户进行一对一的绑定,这个问题可以轻易被避免。”白帽子303说。
跟密码相关的漏洞还有很多。
和信贷于今年5月被乌云曝光,由于可以绕过一些关键步骤,而导致任意用户密码可被重置。正常的密码重置流程应该分为“输入图形验证码、发送短信验证码、输入验证码、重置”四步,而在和信贷的流程中,第三步关键的验证过程直接被绕过,攻击者不需通过验证即可重置用户密码。白帽子303介绍,在这个漏洞中,短信验证码没有起到验证作用。
乌云网介绍,一般的密码重置分为输入用户名、验证身份、重置密码、完成四步。重置密码的漏洞分为爆破、秒改、需要与人交互三种类型。
其中爆破(即暴力破解,通过工具不停猜测用户密码)包括手机验证码和邮箱验证码两种。手机验证码漏洞较为常见,一般是由于验证设计过于简单,对校检码使用次数没有限制,导致正确的验证码可以被枚举爆破,从而重置密码。
如2013年4月,有利网被曝光由于某个参数设置的过于简单,且发送请求时无次数限制,可以通过爆破重置任意用户密码。
白帽子303介绍,黑客有收集字典的习惯,即会形成一个常规密码库,在这种情况下,就可以通过撞库(黑客通过收集网络上已泄露的用户名及密码信息,生成对应的字典表,到其他网站尝试批量登录,得到一批可以登录的用户账号及密码)达到攻击的目的。
爆破邮箱漏洞,则发生在用户点击发送验证码后,后台会产生数据包,攻击者可以通过拦截数据包,看到链接,从而重置密码。
对于这种密码重置系列漏洞,李铁军表示,这属于高危漏洞,由于攻击者可以得到其他理财用户的密码。如果平台的资金不是原路返回,攻击者就有机会拿走资金,并提现到其他银行账户。
FengGou表示,大部分漏洞是由于缺乏安全意识与可靠的安全执行力,存在共性,这些问题都是可以避免的。
对此,乌云建议,P2P平台应该对自身做一个大检查,重置密码从来不是一件小事情,作为与资金相关的融资类第三方平台,密码不仅是对用户的一层安全保障,也是自家资金安全的门锁之一。
攻击从未停止
乌云报告显示,截至2014年底,已有近165家P2P平台由于黑客攻击造成系统瘫痪,恶意篡改,资金被洗劫一空等,每天都有平台因为黑客攻击而面临倒闭。
虽然P2P金融行业面临的安全问题一点点变得严峻,但安全问题并没有在这个行业被彻底重视起来。从乌云漏洞平台可看到,部分实际控制人对于漏洞并没有表现出重视程度。
5月31日,乌云公开安心贷重要功能设计缺陷漏洞,该漏洞可以通过修改请求包中有关手机号码的参数,使自己手机接收到任意用户重置面所需的验证码达到重置用户密码的目的,可能影响到网站的所有用户,但该漏洞被厂商选择忽略。
对于该问题,安心贷的一位客服人员告诉21世纪经济报道,如有问题,相关同事一定会第一时间进行处理。但截至记者发稿时,乌云漏洞平台上的漏洞依然没有被厂商修复。
6月5日,乌云爆出8080信贷新版某业务出现一大波高危漏洞,包括getshell(取得权限)漫游内网、SQL注入等问题,但该漏洞也依然被厂商选择忽略。
目前对于漏洞的态度比较积极,但仍有比较传统的企业思维希望以掩盖安全事件为主,FengGou表示希望企业自身能够对用户信息以及资金安全负责,而且必须有第三方的可靠监管机构进行监督。
如何防止这种情况再次发生?李铁军告诉记者,这首先需要用户和平台双重重视。用户需要充分了解平台,及平台信息泄露后可能导致的风险,平台则需要和专业的安全公司合作解决信息泄露的风险。(21世纪经济报道)
