[后台管理] ICP备案号:渝ICP备10202528号
页面版面所有©重庆市农业融资担保集团有限公司

致力成为中国一流的专业金融服务机构 铸就中国一流担保品牌

资讯中心

NEWS CENTER

乌云解构P2P平台漏洞:涉及翼龙贷宜人贷等

【摘要】:
国家统计局7日宣布,将2014年中国GDP增速修正至7.3%,下调0.1%。虽然修订GDP是各国惯例,但这次下调,还是引来不少猜测。关于唱衰中国经济的声音,近期在国际上也没有消停过。  中国经济不行了?未来的走势究竟如何?面对唱衰和质疑,李克强总理的五个最新判断,也许会给你答案。判断一:我国经济运行遇到新的压力  近期全球股票金融市场显著动荡,全球主要股票市场连续大幅下跌,新兴市场货币持续贬值,原

   国家统计局7日宣布,将2014年中国GDP增速修正至7.3%,下调0.1%。虽然修订GDP是各国惯例,但这次下调,还是引来不少猜测。关于唱衰中国经济的声音,近期在国际上也没有消停过。

  中国经济不行了?未来的走势究竟如何?面对唱衰和质疑,李克强总理的五个最新判断,也许会给你答案。

判断一:我国经济运行遇到新的压力

  近期全球股票金融市场显著动荡,全球主要股票市场连续大幅下跌,新兴市场货币持续贬值,原油等大宗商品价格也屡创新低。

  李克强说,近段时间的国际市场动荡,给世界经济复苏增加了新的不确定因素,我国金融市场、进出口等受到的影响也在加深,经济运行遇到新的压力。

  面对扑朔迷离的国际环境和国内深层次矛盾显现的情况,我们持续推进结构性改革,陆续出台降准降息、减税降费和稳定市场等一系列定向调控举措,效应不断显现。我们不仅有发展的巨大潜力,也有有效管控风险的驾驭能力,能够在错综复杂的形势中始终把握工作主动权。

判断二:继续实施积极的财政政策和稳健的货币政策

  5月份以来,出现了投资、消费转好的局面,房地产销售量明显增加,带动房地产投资企稳,固定资产投资有所回升,社会消费品零售总额稳中趋升。出口虽有波动,但总体看出口降幅收窄。

  李克强说,做好当前经济工作,既要看到一些方面不断向好的趋势,及时妥为应对,做到趋利避害。要继续实施积极的财政政策和稳健的货币政策,在坚持区间调控基础上,以更精准的定向调控、相机调控对冲经济下行压力,以更有力的改革创新激发市场活力,以更有效地抓落实巩固向好势头,稳定市场预期,做好政策储备,确保完成今年经济社会发展主要目标任务。

判断三:微观活力将支撑宏观经济大局稳定

  各级政府部门把简政放权、放管结合作为改革重头戏,取消和下放了一批行政审批事项,一系列政策措施推动微观经济出现深层次的积极变化。

  李克强强调,在传统增长动力减弱的情况下,要拿出更多改革开放新举措,增加公共产品、公共服务供给,促进大众创业、万众创新,增强经济发展动力。以不断迸发的微观活力支撑宏观经济大局稳定。其中就包括推动推动公共设施建设等重大项目落地、扩大绿色节能和低碳产品应用、推动“互联网+”向更多行业拓展等,形成新增长点。

判断四:人民币汇率没有持续贬值的基础

  8月中旬,人民币连续两天贬值千点,贬值幅度创上世纪90年代以来的最大。此后央行又连续多天上调人民币兑美元中间价。市场上围绕人民币贬值是否到位仍然存在激烈的争议。

  对此,李克强总理明确表示,人民币汇率没有持续贬值的基础,可以保持在合理均衡水平上基本稳定。他此前也曾表示,中国近期对人民币汇率中间价报价机制进行完善,这是顺应国际金融市场的变化“顺势而为”,也是寓“调整”于“改革”之中。

判断五:继续推进金融体制改革,维护金融市场稳定

  近期我国股票市场出现了异常波动,三大股指均有大幅下跌。

  李克强指出,加快相关制度建设,培育公开透明、长期稳定健康发展的资本市场。

  他表示,金融稳定事关经济全局,要维护金融市场稳定运行。要继续推进金融体制改革,保持流动性合理充裕,增强服务实体经济的能力。加强和完善风险管理,守住不发生区域性系统性风险底线。

附:楼继伟G20会议讲话

  9月4日至5日,二十国集团(G20)财长和央行行长会议在土耳其首都安卡拉举行。

  来自财政部官方网站的消息称,财政部部长楼继伟在会上表示,中国经济最大潜力在于改革。在人口红利消失、资本回报率下降的背景下,中国政府着力推动结构性改革,不断提高全要素生产率,以改革红利对冲人口红利的消失,使经济增长保持在7%左右。

  7%左右的增速还可能保持4-5年的时间

  楼继伟强调,当前中国经济状况仍在预期之内。中国经济已进入新常态,增速预计将保持在7%左右,并且这一状态可能持续4到5年的时间。对于中国经济增速放缓的原因,楼继伟认为,这主要是因为以前的增速不可持续和中国经济周期的变化。

 新浪科技 王上

  近日乌云平台整理了一份关于P2P平台漏洞的报告,报告显示,国内多数P2P企业曾存在各种影响资金安全的漏洞,涉及很多知名P2P平台,如翼龙贷、宜人贷、易贷网以及有利网等。目前,有的漏洞已经修复,有的仍然存在。

  根据乌云漏洞收集平台的数据显示,自2014年至今,平台收到的有关P2P行业漏洞总数为402个,仅2015年上半年就有235个,仅上半年就比去年一年增长了40.7%。

  2014年至2015年8月乌云漏洞报告平台P2P行业漏洞数量统计显示,高危漏洞占56.2%,中危漏洞占23.4%,低危漏洞占12.3%,8.1%被厂商忽略。

  2014年至今的4201个漏洞中,有可能影响到资金安全的漏洞就占来漏洞总数量的39%。2015年上半年中,对资金有危害的漏洞就占了今年P2P漏洞综述的43%。

  在逻辑漏洞中,密码重置漏洞占60%;访问漏洞占40%,支付漏洞占16%,其他占20%。

  下面六组案例大部分厂商认同,并且已经修复。其中,密码重置漏洞非常普遍——

  漏洞案例一:

  逻辑错误或设计缺陷导致的密码重置漏洞

  涉及平台:搜易贷、翼龙贷、金海贷、和信贷、拍拍贷以及有利网

  简单来说,就是攻击者拿着自己密码重置的凭证重置了别的密码。

  比如在翼龙贷的案例中,通过找回密码,抓包可以看到用户的邮箱、余额、手机号、ID等敏感信息。

  此外,利用Email 和 ID,白帽还可以重置用户的密码。

  在有利网的案例中,由于某个参数设置的过于简单,且发送请求时无次数限制,可以通过爆破重置任意用户密码。

  在和信贷的案例中,由于设计缺陷,重置其它用户的密码不需要知道用户邮箱收到的具体URL,可以直接拼凑出重置其它用户密码的URL进行密码重置。

  重置密码这个类型漏洞在P2P平台比较普遍,包含爆破类型、妙改类型以及需要与人交互类型这三种,似乎“黑客”重置用户密码变成一个非常简单的事情。

  用户的密码都被重置了,资金还安全吗?乌云平台认为,重置密码从来都不是一件小事情,作为跟资金相关的金融平台,密码不仅是对用户的一层安全保障,也是自家资金安全的门锁之一。

  乌云平台建议开发人员在开发的过程中,应该注意“保证Cookie等可以重置密码的凭证与用户之间的对应关系”。

  漏洞案例二:

  数据库配置错误账号密码存泄漏风险

  涉及平台:宜人贷

  今年5月,宜信旗下网贷平台宜人贷某处配置不当可导致数据库账号密码等敏感信息泄露 ,这是一个因为应用配置错误造成的SVN泄漏,从而导致数据库账号密码等敏感信息泄漏。SVN是Subbersion的简称,是一个开放源代码的版本管理工具。

  对于该漏洞,厂商已经修复。并表示,漏洞系研发私自修改NGINX目录限制导致,已修改,同时禁止研发使用SVN COPY。

  漏洞案例三:

  设计缺陷导致的登录逻辑错误/影响用户账号安全

  涉及平台:宜人贷、翼龙贷

  今年5月,宜人贷某处缺陷导致奇葩登录逻辑、爆破、恶意绑定等缺陷 。也就是说,在宜人贷某处可以免密码登录,随便输入一个工号就可以登录。登录后,可以将未绑定账号的内部账号绑到自己的账户上,然后等待奖励分钱。

  该漏洞危险等级低,目前已经修复。宜人贷回复称,此问题为产品设计问题,是已知问题,已经在下期更新中加入进入个人中心时的短信验证。

  在翼龙贷案例中,翼龙贷用户通过手机客户端邮件找回密码,验证码明文出现在返回包中。

  乌云平台认为,涉及到钱的问题再小也不能忽视。尤其是翼龙贷,开发人员在对待安全问题上不够谨慎,考虑不够全面。

  漏洞案例四:

  运维不当导致用户安全受威胁

  涉及平台:翼龙贷

  这是一个OpenSSL心脏滴血漏洞,可以获取用户完整的Cookie,间接影响用户账户和资金安全,可以实现无限获得50元新手红包。

  心脏滴血漏洞2014年4月7日被程序员Sean Cassidy的博客上被公开到现在,已经有很长一段时间了,而翼龙贷却没有打上补丁,造成用户完整的Cookie泄漏,间接影响用户账户与资金安全。

  漏洞案例五:

  逻辑错误导致无限刷红包

  涉及平台:有利网

  这个漏洞的白帽子给了这样一个直接的标签:有利网刷钱漏洞。该漏洞利用了有利网注册可获50元红包和可以任意手机号注册两个条件,结合Burp Suite修改相应包的内容,可以实现无限获得50元的新手红包。

  乌云平台认为这漏洞比较难被利用,但是,在金钱的利诱下,麻烦又怕什么。但是,有利网方面回应,这个漏洞不影响。于是,这个漏洞被忽略了。

  漏洞案例六:

  任意文件包含影响资金安全

  涉及平台:易贷网

  在今年7月,易贷网存在任意文件包含,包含配置文件可以读到物理路径,注册一个用户上传图片,图片中插入一句话即可getshell,然后可以接触到十几万的用户数据,当然有用户账号密码这些跟资金相关的敏感数据。

  文件包含漏洞是由于在引入文件时,对传入的文件名没有经过合理的校验,或者校验被绕过,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意的代码注入。

  针对该漏洞,今年8月易贷网回复称,因启用新域名后,老域名切换到测试环境,并临时关闭Waf防护做渗透测试,现在测试完毕,漏洞早已修复,并已经开启了WAF防护,目前已不可利用。

  乌云平台认为,当账号密码被泄露,资金就会面临安全挑战,因此不能疏忽。

  此外,还有两个漏洞案例没有引起厂商的注意,已经选择忽略——

  1)安心贷重要功能设计缺陷(影响全站用户)

  手机找回密码功能存在设计缺陷,可以重置任意用户的密码;安心贷已经主动忽略漏洞。

  2)808信贷新版更严重漏洞二(某业务可Getshell漫游内网附送SQL注入&心脏滴血)

  乌云官网显示,白帽多次联系808信贷客服,然而对方不理不睬。

  根据世界反黑客组织的最新通报,中国P2P平台已经成为全世界黑客宰割的羔羊,已有多起黑客盗取P2P平台现金的案例发生,P2P行业资金安全问题不可忽视。