烏雲爆告-2015年P2P金融網站安全漏洞分析報告
佳佳佳佳佳 · 2015/09/16 10:18php
0x00 P2P安全二三事
前言
當金融和互聯網相遇,會有着怎樣的化學反應?html
2015年6月底,全國共有3547家網貸平臺,歸入中國P2P網貸指數統計的P2P網貸平臺約爲2553家,全國P2P網貸平臺平均註冊資本爲2468萬元。前端
然而,互聯網在爲金融行業帶來飛速發展的機會和空間的同時,卻也由於網絡應用的不斷深刻,帶來了一堆隱藏在光亮前景背後的安全問題。程序員
2015年8月7日,烏雲平臺白帽子發現帝友P2P借貸系統全局問題形成多處注入,可到後臺拿shell,分析數據庫,已注入出後臺管理員明文密碼。算法
8月8日,知名P2P平臺借貸系統貸齊樂被發現多處SQL注入可影響大量P2P網貸站點,白帽子還提供了多達100+的案例以證實危害範圍之廣。兩天後,也就是8月10日,烏雲平臺上又爆出貸齊樂出現某處設計缺陷致使大面積注入以及幾處高權限SQL注入。 帝友和貸齊樂借貸系統能夠說是如今P2P行業兩大主流借貸系統,據統計,如今全國百分之七十以上的借貸網站都是用貸齊樂系統搭建的,而且在今年中國最大的投資理財產品點評平臺76676發起的「最安全P2P網貸系統」的投票評選活動中,以3372票的高票數穩居第一,佔據了總票數的35%,帝友借貸系統也常常出如今P2P平臺上,也就是說這兩個系統一旦出現安全問題,將會危機到一大片P2P借貸網站。sql
根據世界反黑客組織的最新通報,中國P2P已經成爲全世界黑客宰割的羔羊。而資金安全應當佔據P2P行業安全的首要位置,本期的烏雲爆告就將從網絡安全技術角度,以數據和實際案例爲你分析和解讀P2P行業潛藏的資金安全隱患。shell
數聽說話
據烏雲漏洞收集平臺的數據顯示,自2014年至今,平臺收到的有關P2P行業漏洞總數爲402個,2015年上半年累計235個,僅上半年就比去年一年增加了40.7%。數據庫
2014年至2015年8月烏雲漏洞報告平臺P2P行業漏洞數量統計(單位:個)安全
在2014年至今的402個漏洞中,有可能影響到資金安全的漏洞就佔了漏洞總數量的39%。2015年上半年中,對資金有危害的漏洞就佔了今年P2P漏洞總數的43%。服務器
數字會說話,從以上數據咱們能夠看出:
(1)2015年僅上半年的P2P金融行業漏洞數量就比2014年整年增加了40.7%;
(2)P2P行業漏洞中,高危漏洞佔了很大比例,達到56.2%之多;
(3)2014年至今可能影響到資金安全的漏洞共同佔了漏洞總量的46.2%,該狀況在2015年依舊沒有獲得很好的解決,2015年上半年這樣的漏洞的數量依舊佔了上半年漏洞總數的44.3%,只增未減;
以上P2P行業漏洞涉及到93家廠商,其中不乏不少知名的P2P網貸平臺,在此就不一一列舉了。
機遇和風險並行,P2P行業在飛速發展的同時,面臨的安全挑戰也是很是嚴峻的。
Sablog做者4ngel(真名:譚登元)於2014年1月29日因經過侵入他人計算機系統,騙取多家P2P平臺大量現金被逮捕,並在2015的6月25日被法院作出了終審判決,以詐騙罪分別判處郎小龍有期徒刑十一年,並處罰金人民幣五十萬元;判處譚登元有期徒刑五年,並處罰金人民幣十萬元;將郎小龍、譚登元退繳的所有犯罪所得,發還相應被害公司。
譚登元曾被稱爲WebShell三劍客的PHPSPY的做者,安全天使站長,對安全行業曾有過較大貢獻。但在2013年8月到10月之間,譚登元卻同另外一名黑客郎小龍侵入了多家P2P平臺。他們兩個分工明確,由譚登元非法侵入被害單位的網站,取得被害單位網站的後臺管理系統權限,並將權限發送給郎小龍,郎小龍則用獲取到的權限篡改網站投資客戶的姓名、身份證號、資金記錄、銀行卡號等原始數據後登錄網站系統申請提現,騙取被害單位向郎小龍控制的多個帳戶轉帳。經過這樣的手段,兩人一共騙取人民幣共計1572356.15元。
他們危害的公司名單以下:
鄭州樹誠科技有限公司——中原貸
浙江華良投資管理有限公司——愛貸網
南寧安鐸爾金融信息服務有限公司——紫金貸
浙江涌潤投資管理有限公司——涌金貸
深圳旺金金融信息服務有限公司——融信財富
東莞市巨印實業投資有限公司——和誠德
南京明寶堂金融信息服務有限公司——保險貸
淮安市融鑫金融信息諮詢有限公司——乾坤貸
杭州浙優民間資本理財服務有限公司——一誠貸
從這個血淋淋的真實Case裏,咱們能夠正面感覺到P2P面臨的網絡安全風險挑戰有多嚴峻。也許一個小的失誤,就能形成一筆巨大的損失。本次的烏雲爆告宗旨其實也是想要讓你們正視P2P行業陽光背後的陰影,發現問題,及時止損。
0x01 你的資金還安全嗎?
既然要帶你們發現P2P行業背後隱藏的問題,那麼接下來咱們就繼續用真實案例說話,帶你直擊P2P行業資金的薄弱之處,案例中選了幾家排名靠前的知名P2P平臺,以它們爲鏡,正視行業安全現狀。如下全部案例均爲烏雲平臺已通知廠商進行修復並公開的漏洞。
宜人貸
宜人貸是宜信公司於2012年推出的,在網貸之家P2P平臺排行榜中位列第三。宜信公司做爲國內最大的互聯網金融企業之一,樹大招風,旗下產品天然會比較引人關注。
WooYun-2015-112228
這是一個由於應用配置錯誤形成svn泄漏,從而致使數據庫賬號密碼等敏感信息泄漏。SVN是Subversion的簡稱,是一個開放源代碼的版本管理工具。
從可直接訪問到的svn處,全部PHP文件均可如下載查看源代碼,配置文件中還泄漏了內網地址、數據庫賬號密碼等敏感信息。
當內網地址、數據庫賬號密碼都被知曉了,那網站資金是否是也面臨着巨大的威脅呢?
小編說:從廠商的回覆中能夠獲得,這是因爲研發私自修改Nginx目錄限制致使該漏洞的,雖然這個漏洞中,白帽子沒有進行深刻的滲透,可是的確泄漏了很重要的敏感信息,你永遠不知道這些信息在黑產的手中能夠挖掘出怎樣巨大的利益。
WooYun-2015-114030
在宜人貸某處能夠免密碼登陸,隨便輸入一個工號就能夠登陸。
登陸以後能夠將未綁定賬號的內部賬號綁到本身的帳戶上,而後等待獎勵分錢。
小編說:在測試過程當中,白帽子將一個內部員工的賬號綁定到了本身的帳戶上,這樣能夠等待內部員工獎勵了。總以爲和錢扯上關係的每個點都應該被注意,哪怕只是很微小的一個地方,這樣低級的邏輯錯誤更應該積極避免。
翼龍貸
翼龍貸網成立於2007年,總部位於北京,目前已在全國一百多個地級市設立運營中心,覆蓋上千個區、縣及近萬個鄉鎮,並將在全國衆多的1、二線城市創建全國性的服務網絡,在網貸之家P2P平臺排行榜中位列第十三。
WooYun-2015-128134
這是一個openssl心臟滴血漏洞,可獲取用戶完整的cookie,間接影響用戶帳戶安全、資金安全。
每次重放cookie都不同,誰在線就能抓誰的了。
登錄口的也能夠抓到。
小編說:心臟滴血漏洞從2014年4月7日在程序員Sean Cassidy的博客上被公開到如今,也是有很長一段時間了,但網站卻沒有及時地打上補丁,形成用戶完整cookie的泄漏,間接地影響了用戶帳戶安全、資金安全,這樣的狀況能夠說是網站管理者的疏忽,但P2P行業做爲一個金融行業,在安全上又怎麼能有半點馬虎呢?畢竟也許還有不少咱們沒有發現的「P2Pの終結者」正躲在暗處乘機而動。
WooYun-2015-124387
一個經過找回密碼發現的安全漏洞。
經過找回密碼,抓包能夠看到用戶郵箱、餘額、手機號、ID等敏感信息。
只是泄漏敏感信息就完了麼?然而並非,到這裏還沒完。利用Email和ID,咱們還能夠重置用戶的密碼。
首先用攻擊者的賬號進行重置密碼的操做,到輸入新密碼的頁面停住;
而後利用受害者的郵箱進行重置密碼的操做;
接着回到攻擊者賬號重置密碼的頁面,輸入新的密碼,提交後攔截請求,將請求中的Email和ID處修改爲受害者的Email和ID,以後發送請求,便可重置被害者賬號密碼。
小編說:在這個漏洞裏面,翼龍貸網站出現了兩個失誤,一是在找回密碼的返回包中泄漏了用戶敏感信息,爲攻擊者後來的重置其餘用戶的密碼操做提供了重要信息(Email和ID),二是cookie沒有和用戶綁定對應,這樣可不能夠理解爲cookie的做用並無被髮揮出來呢?從最後的圖中咱們能夠看到,用戶的帳戶裏仍是有很多餘額的,若是由於網站的安全問題形成用戶的損失,那網站在用戶心中的信任度是否是也會跟着降低呢?
WooYun-2015-119527
這是一個由於考慮不夠徹底形成的漏洞。
翼龍貸手機客戶端中經過郵件找回密碼時,驗證碼明文出如今返回包中
返回包中包含的驗證碼是否是和郵件中的驗證碼如出一轍呢?
小編說:網站在開發此功能時,是否是忘記數據包是能夠被黑客們垂手可得地攔截到的呢?當重置密碼的驗證碼明文出如今返回包中時,驗證碼的做用也就被抹殺掉了,重置別人的密碼變得如此簡單,你怕不怕?
經過烏雲平臺上收集到的漏洞看來,翼龍貸在安全方面還須要更加謹慎一點,這裏小編就只舉了三個翼龍貸的案例,都是可以觸及到用戶密碼、cookie等敏感信息的漏洞,而從漏洞成因看來,以上三個漏洞基本都是由於網站管理者或者開發者在對待安全時不夠謹慎,考慮不夠深刻全面而形成的。就烏雲平臺上收集到的漏洞看來,翼龍貸在安全方面存在的問題仍是比較多的,更須要多加劇視與投入。互聯網金融行業做爲黑客眼中的一大肥羊,怎麼能夠在安全方面掉以輕心呢?
搜易貸
搜易貸是搜狐集團旗下的互聯網金融平臺,由搜狐暢遊CEO何捷於2014年4月創辦,2014年9月2日搜易貸正式上線,在網貸之家P2P平臺排行榜中位列第三十九。
WooYun-2015-111101
這是一處由於設計缺陷/邏輯錯誤而形成的密碼重置漏洞,能夠說是一個很奇葩的邏輯,下面用流程圖來解釋這個漏洞。
簡單來講,就是攻擊者拿着本身密碼重置的憑證重置了別人的密碼,這是一個一看就是錯誤的邏輯,但從烏雲平臺收集的漏洞看,這樣的漏洞不止拍拍貸有,在其它P2P平臺也存在着這樣的錯誤邏輯。這裏列舉幾個其餘借貸平臺相同或類似邏輯的漏洞:
WooYun-2015-113309
WooYun-2015-127897
WooYun-2015-120673
WooYun-2015-101028
小編說:從漏洞詳情中不難看出,和搜易貸出現的相似的邏輯漏洞不是惟一的,就連位於網貸之家P2P排行榜第12名的和信貸也不止一次地出現這個問題,前面出現的翼龍貸的重置密碼漏洞(WooYun-2015-124387)也能夠算作此類問題,都是攻擊者拿着本身的憑證重置了別人的密碼。用戶帳戶密碼都被重置了,那資金還會安全嗎?建議開發人員在開發的過程當中要注意「應該怎樣保證cookie等能夠重置密碼的憑證與用戶之間的對應關係」這樣的問題,否則一不當心就會出現這樣的神邏輯漏洞呢。
有利網
有利網是2013年2月25日上線的,目前在網貸之家P2P排行榜中位列第九名。
WooYun-2014-89313
這個漏洞白帽子給了一個這樣的標籤——有利網刷錢漏洞,和錢直白地扯上了關係。 該漏洞利用了有利網註冊可獲50元紅包和能夠任意手機號註冊兩個條件,結合Burp Suite修改響應包的內容,能夠實現無限得到50元的新手紅包。
小編說:這個漏洞利用起來比較麻煩,須要一次一次修改響應包的內容,可是在金錢誘惑下,這些麻煩又算什麼呢?雖然最後廠商斷定該漏洞無影響,但真的沒有影響嗎?別的P2P平臺是否也存在相同的問題呢?
WooYun-2013-21722
[有利網 也能夠任意用戶密碼重置][31]
在有利網密碼重置連接中,某個參數因爲設置過於簡單,且發送請求時無次數限制,能夠經過爆破重置任意用戶密碼。
小編說:又是一個密碼重置的漏洞。在整理P2P漏洞的過程當中,小編髮現重置用戶密碼彷佛變成了一件很簡單的事情。密碼對於做爲互聯網用戶,來講,實際上是一個心理保障,尤爲當用戶的資金和互聯網相關聯的時候,密碼其實給了用戶一個心理上的可信任因素,若是被攻擊者重置密碼變成一件很簡單的事,那對用戶對於互聯網的信任是否是有很大的影響呢?這樣是否會間接影響到P2P平臺的發展呢?
易貸網
易貸網正式開通於2009年1月,是比較早期的互聯網借貸平臺,截止2010年1月,網站的日PV量就突破了20萬,目前位列網貸之家P2P平臺排行榜第十。然而這樣一家大型的P2P借貸平臺,也存在着不可忽視的安全問題。
WooYun-2015-125376
易貸網存在任意文件包含,包含配置文件能夠讀到物理路徑,註冊一個用戶上傳圖片,圖片中插入一句話便可getshell,而後能夠接觸到十幾萬的用戶數據,固然有用戶賬號密碼這些跟資金相關的敏感數據。
小編說:文件包含漏洞是因爲在引入文件時,對傳入的文件名沒有通過合理的校驗,或者校驗被繞過,從而操做了預想以外的文件,就可能致使意外的文件泄露甚至惡意的代碼注入。這是否也是安全上的疏忽呢?當用戶賬號密碼被泄漏的時候,P2P平臺還能夠給用戶怎樣的資金安全保障呢?因此P2P平臺在面對安全挑戰時,是否是應該更加當心謹慎一點呢?
WooYun-2015-125371
易貸網也會存在SQL注入,經過一個注入,能夠致使全部用戶信息泄漏,包括帳戶名和密碼。
小編說:SQL注入是一種經久不衰的姿式,雖然從爆發到如今已經很長時間了,但大大小小的網站依然可能存在着這個問題。安全有時候就是這麼不可掉以輕心,sql注入是直接可以影響用戶資金以及引發我的信息泄露的主要緣由之一,一個注入點致使用戶賬號密碼泄漏這樣的漏洞,並不會是個案。
和信貸
和信貸成立於2013年8月18日,目前位列網貸P2P平臺的第十二位。
WooYun-2015-114207
這個漏洞是因爲沒有對重置密碼時應輸入的短信驗證碼進行校驗而致使的。
正常的重置密碼流程以下:
1.輸入要找回的用戶賬號,輸入圖形驗證碼,下一步;
2.點擊發送短信驗證碼,用戶手機收到驗證碼;
3.填入短信驗證碼,點擊下一步;
4.開始重置密碼。
但因爲第第三步存在問題,沒有對驗證碼進行有效驗證,因此能夠直接繞過第三步,攻擊流程以下:
1.輸入圖形驗證碼,下一步;
2.點擊發送短信驗證碼,用戶手機收到驗證碼;
3.直接訪問正常流程中第四步的URL進行密碼重置。
也就是說只要完成正常流程中的第一步和第二步,而後直接訪問重置密碼的連接:member.hexindai.com/password/re…便可順利重置用戶密碼。
小編說:從漏洞詳情中咱們不難看出,短信驗證碼在這裏根本不起什麼做用,那麼設置短信驗證碼的初衷是什麼呢?這能夠說是一個很簡單的漏洞,可是危害卻很大。金融安全中,應該保證所設置的每個驗證步驟都發揮了本身的做用,不要丟三落四喔。
WooYun-2015-114209
仍舊是密碼找回的問題,當重置密碼趕上Burp Suite,不夠謹慎的開發就很容易形成問題。
正常的郵箱找回密碼流程以下:
1.輸入用戶名,輸入圖片驗證碼,下一步;
2.點擊郵箱方式找回密碼,會自動往綁定的郵箱中發送一份郵件;
3.打開郵件中重置密碼的URL進行密碼重置。
但因爲設計缺陷,重置任意用戶密碼時不須要知道用戶郵箱收到的具體重置密碼的URL,攻擊方法以下:
1.隨意輸入一存在的用戶賬號,輸入圖形驗證碼,下一步;
2.點擊從新發送,抓包,如圖:
Burp中攔截帶的響應包內容
收到的重置密碼的URL
小編說:這麼重要的重置密碼的URL怎麼能夠包含在能夠被截獲的cookie中呢?能夠重置用戶密碼的憑證是否是應該更加註重保密性呢?仍是那句話,安全是從點滴小事累積起來的,不能夠掉以輕心。
福利Tips
雖然只是列舉了一些知名P2P金融平臺的漏洞,可是從例子和烏雲收到的P2P金融漏洞看,會發現重置密碼仍是佔了很大比例的。是什麼讓重置密碼變得如此簡單?有白帽子爲咱們整理了一些常見的重置密碼漏洞,並對其進行了分析:http://drops.wooyun.org/papers/2035
通常的密碼重置設計都是分爲如下四步:
1.輸入帳戶名
2.驗證身份
3.重置密碼
4.完成
重置密碼的漏洞基本會分爲三類:
爆破類型
秒改類型
須要與人交互類型
爆破類型
這種類型的重置密碼漏洞是最常見最容易出現的一類,其中還分爲手機驗證碼爆破和郵箱驗證碼爆破兩種。
爆破手機驗證碼
這種設計通常是在找回密碼的時候,會給指定的手機號發送一個用於驗證身份的驗證碼,而後只要用戶輸入正確的驗證碼,就能夠進行密碼重置了。 這種設計產生重置密碼漏洞的狀況,通常是因爲驗證設計過於簡單,並且對校驗碼的校驗使用次數沒有進行限制,致使正確的驗證碼能夠被枚舉爆破,從而重置密碼。此方法也是最多見的重置密碼的方式,由於大多數廠商最開始的設置都是採起的4-6位純數字驗證碼的驗證方式,並且是沒有防止爆破的設計,例如限制次數等。
爆破郵箱驗證碼
這這種設計通常是在找回密碼的時候,會給指定郵箱發送一個用於校驗的url連接,連接中通常會有一個參數就是用於驗證身份的驗證碼,而後用戶點擊指定url就能夠進入重置密碼的頁面從而去重置密碼了。
這是因爲設計缺陷產生重置密碼漏洞的狀況,也是因爲重置密碼連接中的驗證碼參數設計過於簡單,能夠被爆破,從而能夠重置密碼。
固然郵箱驗證碼有時也會出現驗證URL包含在cookie中,能夠被攻擊者截獲。
秒改類型
偷樑換柱一
這種設計通常是在找回密碼的時候,會給指定郵箱發送一個用於校驗的url連接,連接中通常確定會存在2個比較重要的參數,一個是用戶名(或者uid、qq郵箱之類的能表明用戶身份的參數),另外一個就是一個加密的字符串(經過服務器端的某種算法生成的用來驗證用戶身份的參數)。而後用戶在重置密碼的時候,點擊郵箱中的重置密碼連接,就能夠重置賬號密碼了。
這種狀況通常是因爲重置密碼連接中的表示用戶名的參數和用於校驗的加密字符串參數沒有進行一一對應,致使能夠被黑客偷樑換柱,從而重置密碼。
也就是說,那個驗證身份的加密字符串是萬能的。
好比生成的重置密碼url爲:www.xx.com/xxoo.php?us…而後因爲這裏的參數code在服務器端驗證的時候,只要其自身的算法知足服務器端的驗證就直接經過了,不會去驗證這個code是否是和wooyun1帳戶對應的。
從而,黑客能夠直接利用url:www.xx.com/xxoo.php?us…重置賬號wooyun2的密碼。
偷樑換柱二
一樣是偷樑換柱,這種通常是在最後一步設置新密碼的時候,程序員每每會疏忽驗證用戶身份,從而被偷樑換柱,重置密碼。這種通常是因爲前面2步驟中已經驗證了身份,而後3步驟重置密碼的時候沒有對用戶身份進行持續性的驗證致使的。
程序員的小失誤
有的時候雖然加密字符串的算法很複雜,可是在重置密碼的過程當中,要是程序員本身不當心將其泄漏了,那也能夠被重置密碼。這種屬於程序員本身沒有將開發調試時候的一些數據在正式上線前去掉致使的。
加密算法過於簡單
有的時候利用郵箱的url重置密碼,雖然不存在以上幾種狀況,可是因爲加密算法過於簡單而被破解,致使密碼重置。這種通常都是一些簡單的加密算法,將一些關鍵參數好比用戶名、郵箱、手機號、驗證字符、時間戳等,進行必定的規則的組合而後進行md5、base64加密。
繞過某步驟
重置密碼通常須要四個步驟:
1.輸入帳戶名;
2.驗證身份;
3.重置密碼;
4.完成。
有時候當你進行了第一步以後,直接去修改URL或者前端代碼去進行3步驟從而也能成功的繞過了2的驗證去重置密碼。這種通常是因爲沒有對關鍵的身份驗證的參數進行追蹤致使的。
代收用戶驗證碼
有時候修改密碼的時候會給郵箱或者手機發送一個新密碼,那麼抓包將手機號或者郵箱改爲咱們本身的會怎麼樣呢?這種通常是因爲沒有驗證手機號或者郵箱的對應身份致使的。
須要與人交互
CSRF
有的時候CSRF利用好的話,也能夠重置用戶甚至是管理員的密碼。這種通常是因爲登陸賬號後重置密碼或者綁定郵箱、手機號的時候沒有token也沒有驗證refer致使的。
XSS
有時候XSS漏洞也能夠重置密碼,固然這種也是由於自己重置密碼這裏就有其餘的設計缺陷。這種通常是用XSS劫持了帳戶後,因爲某些奇怪的設計形成的。
小編說:P2P金融廠商能夠對照着這個來對自身作一個大檢查,重置密碼歷來都不是一件小事情,做爲跟資金相關的金融平臺,密碼不只是對用戶的一層安全保障,也是自家資金安全的門鎖之一。
0x02 安全從未中止
安全對於P2P行業來講究竟有多重要呢?
根據經濟之聲的《天下財經》報道,今年7月份P2P網貸的總體成交量達到825億元,環比上升超過25%,同時,參與P2P網貸的投資人和借款人分別達到了179萬和44萬人,一樣大幅攀升。
拿什麼去保障這些巨大的成交量以及龐大的用戶羣體的利益呢?截至2014年末,已有近165家P2P平臺因爲黑客攻擊形成系統癱瘓、數據被惡意篡改、資金被洗劫一空等。天天都有平臺在由於黑客攻擊而面臨倒閉。
雖然P2P金融行業面對的網絡安全挑戰在一點點變得嚴峻,可是彷佛安全尚未被這個行業完全地重視起來,從烏雲平臺收集到的漏洞咱們能夠看到,廠商對於一些漏洞不夠重視。
WooYun-2015-115425 p2p金融安全之安心貸重要功能設計缺陷(影響全站用戶)
2015年5月31日,烏雲平臺公開安心貸重要功能設計缺陷漏洞,該漏洞能夠經過修改請求包中有關手機號碼的參數,是本身的手機接收到任意用戶重置密碼所需的驗證碼,達到重置用戶密碼目的。該漏洞能夠影響全站用戶,但被廠商選擇忽略。
WooYun-2015-118355 p2p金融安全之808信貸新版更嚴重漏洞二(某業務可Getshell漫遊內網附送SQL注入&心臟滴血)
2015年6月5日烏雲平臺爆出8080信貸新版某業務出現一大波高危漏洞,包括getshell漫遊內網、SQL注入、心臟滴血等,白帽子曾屢次以用戶的身份跟客服聯繫,提醒問題所在,但客服卻不理不睬。漏洞提交到烏雲平臺後,漏洞也被忽略處理了。
這樣的案例並非個別的,P2P的迅速興起使得行業並無在安全上投入太多資源和經歷,薄弱之處天然很多。
安全也許只是P2P借貸平臺發展的一部分,但倒是最重要的一部分,也許你如今不重視的問題,會成爲危及資金、危及客戶羣體,最後致使滅亡的那個致命因素。
閱盡無數漏洞,不如真真正正地意識到安全的重要性,用最謹慎最認真的態度對待一切有可能出現的安全挑戰纔是P2P網貸平臺不斷髮展壯大的關鍵。 安全不會就此停歇,它,從未中止。
0x03 貢獻者
撰寫第一期烏雲爆告獲得了不少小夥伴的幫助,感謝這些小夥伴對本次爆告的關注和爲撰寫作出的貢獻。
| netwind | 烏雲白帽子(漏洞案例做者) |
| Martes | 烏雲白帽子(漏洞案例做者) |
| 糖剩七顆 | 烏雲白帽子(漏洞案例做者) |
| 突然之間 | 烏雲白帽子(漏洞案例做者) |
| BMa | 烏雲白帽子(漏洞案例做者) |
| 戀鋒 | 烏雲白帽子(漏洞案例做者) |
| 北京方便麪 | 烏雲白帽子(漏洞案例做者) |
| px1624 | 烏雲白帽子(漏洞案例做者&福利Tips做者) |
| 殺器王子 | 烏雲白帽子(漏洞案例做者) |
| her0ma | 烏雲白帽子(漏洞案例做者) |
| 管管俠 | 烏雲白帽子(漏洞案例做者) |
| 從容 | 烏雲白帽子 |
| 子非海綿寶寶 | 烏雲白帽子 |
| 瘋狗 | 烏雲白帽子 |
| wudi | 烏雲白帽子 |
| 皁皁 | 烏雲爆告設計者 |
P.S:歡迎各位對第一期烏雲爆告提出本身的看法和建議,您能夠經過郵箱聯繫咱們,[email protected]
- 1. 金融行業安全漏洞分析報告
- 2. CNNVD發佈2015年信息安全漏洞態勢報告
- 3. 2015移動安全漏洞年報
- 4. 2015移動應用漏洞安全報告
- 5. cve-2017-11882漏洞分析報告
- 6. CVE-2017-11882漏洞分析報告
- 7. cve-2018-0802漏洞分析報告
- 8. 移動安全漏洞分析報告(轉)
- 9. APP SDK漏洞WormHole蟲洞漏洞分析報告
- 10. 海雲安帶你解讀移動金融APP安全報告
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • 網站 域名 - 網站主機教程
- • 互聯網組織的未來:剖析GitHub員工的任性之源
- • Composer 安裝與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。