乌云漏洞报告平台乌云2015年P2P金融网站安全漏洞分析报告 乌云知识库 乌云爆告-2015年P2P金融网站安全漏洞分析报告 佳佳佳佳佳 ? 2015/09/16 10:18 0x00 P2P安全二三事 前言 当金融和互联网相遇，会有着怎样的化学反应, 2015年6月底，全国共有3547家网贷平台，纳入中国P2P网贷指数统计的P2P网贷平台约为2553家，全国P2P网贷平台平均注册资本为2468万元。 然而，互联网在为金融行业带来飞速发展的机会和空间的同时，却也因为网络应用的不断深入，带来了一堆隐藏在光亮前景背后的安全问题。 2015年8月7日，乌云平台白帽子发现帝友P2P借贷系统全局问题造成多处注入，可到后台拿shell，分析数据库，已注入出后台管理员明文密码。 8月8日，知名P2P平台借贷系统贷齐乐被发现多处SQL注入可影响大量P2P网贷站点，白帽子还提供了多达100+的案例以证明危害范围之广。两天后，也就是8月10日，乌云平台上又爆出贷齐乐出现某处设计缺陷导致大面积注入以及几处高权限SQL注入。帝友和贷齐乐借贷系统可以说是现在P2P行业两大主流借贷系统，据统计，现在全国百分之七十以上的借贷网站都是用贷齐乐系统搭建的，并且在今年中国最大的投资理财产品点评平台76676发起的“最安全P2P网贷系统”的投票评选活动中，以3372票的高票数稳居第一，占据了总票数的35%，帝友借贷系统也经常出现在P2P平台上，也就是说这两个系统一旦出现安全问题，将会危机到一大片P2P借贷网站。

根据世界反黑客组织的最新通报，中国P2P已经成为全世界黑客宰割的羔羊。而资金安全应当占据P2P行业安全的首要位置，本期的乌云爆告就将从网络安全技术角度，以数据和实际案例为你分析和解读P2P行业潜藏的资金安全隐患。 数据说话 据乌云漏洞收集平台的数据显示，自2014年至今，平台收到的有关P2P行业漏洞总数为402个，2015年上半年累计235个，仅上半年就比去年一年增长了40.7%。 2014年至2015年8月乌云漏洞报告平台P2P行业漏洞数量统计(单位:个) 在2014年至今的402个漏洞中，有可能影响到资金安全的漏洞就占了漏洞总数量的39%。2015年上半年中，对资金有危害的漏洞就占了今年P2P漏洞总数的43%。 数字会说话，从以上数据我们可以看出: (1)2015年仅上半年的P2P金融行业漏洞数量就比2014年全年增长了40.7%; (2)P2P行业漏洞中，高危漏洞占了很大比例，达到56.2%之多; (3)2014年至今可能影响到资金安全的漏洞共同占了漏洞总量的46.2%，该情况在2015年依旧没有得到很好的解决，2015年上半年这样的漏洞的数量依旧占了上半年漏洞总数的44.3%，只增未减; 以上P2P行业漏洞涉及到93家厂商，其中不乏很多知名的P2P网贷平台，在此就不一一列举了。

机遇和风险并行，P2P行业在飞速发展的同时互联网漏洞报告平台乌云，面临的安全挑战也是非常严峻的。 Sablog作者4ngel(真名:谭登元)于2014年1月29日因通过侵入他人计算机系统，骗取多家P2P平台大量现金被逮捕，并在2015的6月25日被法院做出了终审判决，以诈骗罪分别判处郎小龙有期徒刑十一年，并处罚金人民币五十万元;判处谭登元 有期徒刑五年，并处罚金人民币十万元;将郎小龙、谭登元退缴的全部犯罪所得，发还相应被害公司。 谭登元曾被称为WebShell三剑客的PHPSPY的作者，安全天使站长，对安全行业曾有过较大贡献。但在2013年8月到10月之间，谭登元却同另一名黑客郎小龙侵入了多家P2P平台。他们两个分工明确，由谭登元非法侵入被害单位的网站，取得被害单位网站的后台管理系统权限，并将权限发送给郎小龙，郎小龙则用获取到的权限篡改网站投资客户的姓名、身份证号、资金记录、银行卡号等原始数据后登陆网站系统申请提现，骗取被害单位向郎小龙控制的多个账户转账。通过这样的手段，两人一共骗取人民币共计1572356.15元。 他们危害的公司名单如下: 郑州树诚科技有限公司——中原贷 浙江华良投资管理有限公司——爱贷网 南宁安铎尔金融信息服务有限公司——紫金贷 浙江涌润投资管理有限公司——涌金贷 深圳旺金金融信息服务有限公司——融信财富 东莞市巨印实业投资有限公司——和诚德 南京明宝堂金融信息服务有限公司——保险贷 淮安市融鑫金融信息咨询有限公司——乾坤贷 杭州浙优民间资本理财服务有限公司——一诚贷 从这个血淋淋的真实Case里，我们可以正面感受到P2P面临的网络安全风险挑战有多严峻。

也许一个小的失误，就能造成一笔巨大的损失。本次的乌云爆告宗旨其实也是想要让大家正视P2P行业阳光背后的阴影，发现问题，及时止损。 0x01 你的资金还安全吗, 既然要带大家发现P2P行业背后隐藏的问题，那么接下来我们就继续用真实案例说话，带你直击P2P行业资金的薄弱之处，案例中选了几家排名靠前的知名P2P平台，以它们为镜，正视行业安全现状。以下所有案例均为乌云平台已通知厂商进行修复并公开的漏洞。 宜人贷 宜人贷是宜信公司于2012年推出的，在网贷之家P2P平台排行榜中位列第三。宜信公司作为国内最大的互联网金融企业之一，树大招风，旗下产品自然会比较引人关注。 WooYun-2015-112228 宜人贷某处配置不当可导致数据库账号密码等敏感信息泄露 篇二:2015十大数据泄密事件报告 触目惊心:2015十大数据泄密事件报告 2015年,是数据安全事故频发年，也是数据安全防护技术高速发展的一年。回顾整个2015，产业信息化、数字化、网络化进程加速，互联网+已然成为一种不可逆的趋势，互联网、云计算、大数据带来更新式革命，然而新趋势下的数据安全状况变得越发严峻。Verizon最新发布的《2015数据泄露调查报告》显示，500强企业中超半数曾遭受过黑客攻击，来自中国的数据安全问题更加触目惊心，福布斯上榜的中国企业中，大多数企业都曾经不同程度遭受过攻击或出现数据泄露，特别是一些掌握大量民众个人信息的通信运营商及金融领域。

明朝万达梳理了2015十大最具影响力的数据泄密事件，以此警示各企事业单位关注数据安全防护，保护其系统免受或降低泄密风险。 1. 十大酒店泄露大量房客开房信息 2月11日，据漏洞盒子白帽子提交的报告显示，知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪(丽思卡尔顿酒店 等)、喜达屋(喜来登、艾美酒店等)、洲际(假日酒店等)网站存在高危漏洞——房客开房信息大量泄露，一览无余，黑客可轻松获取到千万级的酒店顾客的订单信息，包括顾客姓名、身份证、手机号、房间号、房型、开房时间、退房时间、家庭住址、信用卡后四位、信用卡截止日期、邮件等等大量敏感信息。 2. 汇丰发生史上最大规模银行泄密 2月12日，汇丰银行大量秘密银行账户文件被曝光，显示其瑞士分支帮助富有客户逃税，隐瞒数百万美元资产，提取难以追踪的现金，并向客户提供如何在本国避税的建议等。这些文件覆盖的时间为2005年至2007年，涉及约3万个账户，这些账户总计持有约1200亿美元资产，堪称史上最大规模银行泄密。3.多省社保信息遭泄露数千万个人隐私泄密 4月22日消息，近日大量社保系统相关漏洞出现在补天漏洞响应平台，网站信息显示深圳、上海、河北、河南、山西、安徽等省市卫生和社保系统出现大量高危漏洞。

数据显示，围绕社保、公务员等信息系统的漏洞超过30个，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。 4.工行快捷支付存漏洞，用户存款消失 6月，工行快捷支付被爆曝存在严重漏洞，多位北京地区的工行储户遭遇了存款被盗事件。犯罪分子借助非法途径截获短信验证码互联网漏洞报告平台乌云，轻而易举地盗窃存款。 5. HackingTeam被黑，“互联网军火”泄露 7月初，有“互联网军火库”之称的意大利监控软件厂商Hacking Team被黑客攻击，400GB内部数据泄露。据了解，Hacking Team掌握的大量漏洞和攻击工具也暴露在这400GB数据中。更可怕的是，泄露的数据可以在互联网上公开下载和传播。 6.婚外情网站Ashley Madison遭攻击 3700万名用户资料泄漏 8月，美国婚外情网站“阿什莉?麦迪逊”(Ashley Madison)在 全世界拥有3700万名注册会员,被称为“婚外情界的谷歌”。不明身份的黑客18日在网络上公布了这些会员的详细资料,称此举是为逼停网站。黑客公布的资料显示,会员中包括英国公务员、美国银行家和军人以及联合国维和人员等。 7. 英国240万网络用户遭黑客侵袭:加密信用卡数据外泄 8月9日，英国电信运营商Carphone Warehouse在黑客入侵事件中，包含加密信用卡数据的约240万在线用户的个人信息遭到黑客入侵。

这240万用户的个人数据包括姓名、地址、出生日期和银行卡细节??都有可能遭到黑客访问，其中多达9万名客户的加密信用卡数据可能也遭到黑客入侵。 8.大麦网600多万用户账号密码泄露 数据已被售卖 8月27日消息，乌云漏洞报告平台发布报告显示，线上票务营销平台大麦网被发现存在安全漏洞，600余万用户账户密码遭到泄露。这些隐私数据甚至已被黑产行业进行售卖与传播。 9. 国家旅游局漏洞致6套系统沦陷，涉及全国6000万客户 该漏洞于国庆长假前夕被补天漏洞响应平台披露，涉及全国6000万客户、6W+旅行社账号密码、百万导游信息;并且攻击者可利用该漏洞进行审核、拒签等操作。通过该漏洞，安全工作者获取了一则长长的名单，能够直接观看到每位用户的详细行程及个人信息。 10. 支付宝实名认证漏洞 10月，支付宝实名认证存在漏洞。登录支付宝后无意间打开支付宝实名认证页面，用户的实名认证信息下多出了5个未知账户，而且用户没收到任何形式的确认或是告知信息，不论是短信、邮件、或者是登陆后的站内信息都没有。从上述总结的政企数据泄密事件来看，主要的泄密风险除了黑客攻击、木马病毒、钓鱼网站等外部因素，缺乏整套行之有效的安全管理系统、内部员工泄密以及内部管理等内部因素成为引发的数据泄密事件的主要诱因。

泄密领域也进一步扩大，掌握大量民众个人信息的金融行业依旧是数据泄露的“重灾区”。在“互联网+”时代，企业面临的安全挑战会越来越严峻。随着大数据、云计算以及移动互联网的高度融合，对数据安全技术提出了更高的要求，泄密事件将呈高发势头。 信息数据的爆炸式增长，推动信息化逐步进入数据技术(DT)时代，数据成为驱动业务发展的核心动力，基于数据驱动为核心重构信息系统已经逐步成为共识。明朝万达安全专家表示:“DT时代，数据资产已然成为政企的生命线，而敏感 数据在不同使用环节的应用过程中，数据的产生、存储、应用、交换等环节中均存在被泄密的风险。因此数据风险的评估、系统整合、体系的建立与合理的使用都将是考虑因素。明朝万达自主研发的Chinasec(安元)数据安全系列产品，围绕数据全生命周期安全防护，覆盖数据产生、存储、交换、使用等重要环节，及时有效发现针对数据的攻击和威胁，从而确保用户数据安全可控。新形势下，明朝万达也将继续为实现政企级数据安全管理继续前行。” 篇三:尔雅选修课 《移动互联网时代的信息安全与防护》答案 尔雅选修课《移动互联网时代的信息安全与防护》答案 1.课程概述 1.1课程目标 1 《第35次互联网络发展统计报告》的数据显示，截止2014年12月，我国的网民数量达到了()多人。

C 6亿 2 《第35次互联网络发展统计报告》的数据显示，2014年总体网民当中遭遇过网络安全威胁的人数将近50%。() ? 3 如今，虽然互联网在部分国家已经很普及，但网络还是比较安全，由网络引发的信息安全尚未成为一个全球性的、全民性的问题。() × 1.2课程内容 1 ()是信息赖以存在的一个前提，它是信息安全的基础。 A、数据安全 2 下列关于计算机网络系统的说法中，正确的是()。 D、以上都对 3 网络的人肉搜索、隐私侵害属于()问题。 C、信息内容安全 1.3课程要求 1 在移动互联网时代，我们应该做到()。 D、以上都对 2 2.信息安全威胁 2.1斯诺登事件 1 美国国家安全局和联邦调查局主要是凭借“棱镜”项目进入互联网服务商的()收集、分析信息。 C、服务器 2 谷歌、苹果、雅虎、微软等公司都参与到了“棱镜计划”中。() ? 3 “棱镜计划”是一项由美国国家安全局自2007年起开始实施的绝密的电子监听计划。() ? 2.2网络空间威胁 1 下列关于网络政治动员的说法中，不正确的是() D、这项活动有弊无利 2 在对全球的网络监控中，美国控制着()。 D、以上都对 3 网络恐怖主义就是通过电子媒介对他人进行各种谩骂、嘲讽、侮辱等人身攻击。

() × 2.3四大威胁总结 1 信息流动的过程中，使在用的信息系统损坏或不能使用，这种网络空间的安全威胁被称为()。 A、中断威胁 2 网络空间里，伪造威胁是指一个非授权方将伪造的课题插入系统当中来破坏系统的()。 B、可认证性 3 网络空间的安全威胁中，最常见的是()。 A、中断威胁 4 网络空间里，截获威胁的“非授权方”指一个程序，而非人或计算机。() × 3.信息安全的概念 3.1你的电脑安全吗 1 造成计算机系统不安全的因素包括()。 D、以上都对 2 以下哪一项不属于BYOD设备,() C、电视 3 0 day漏洞就是指在系统商不知晓或是尚未发布相关补丁就被掌握或者公开的漏洞信息。() ? 4 埃博拉病毒是一种计算机系统病毒。() × 3.2安全事件如何发生 1 计算机软件可以分类为()。 D、以上都对 2 信息系统中的脆弱点不包括()。 C、网络谣言 3 机房安排的设备数量超过了空调的承载能力，可能会导致()。 A、设备过热而损坏 4 TCP/IP协议在设计时，考虑了并能同时解决来自网络的安全问题。() × 5 人是信息活动的主体。() ? 3.1什么是安全 1 CIA安全需求模型不包括()。

C、便捷性 2 ()是指保证信息使用者和信息服务者都是真实声称者，防止冒充和重放的攻击。 C、可认证性 3 以下哪一项安全措施不属于实现信息的可用性,() D、文档加密 4 对打印设备不必实施严格的保密技术措施。() × 5 信息安全审计的主要对象是用户、主机和节点。() ? 6 实现不可抵赖性的措施主要有数字签名、可信第三方认证技术等。() ? 4.信息安全防护体系 4.1伊朗核设施瘫痪事件 1