【电脑报在线】绝大多数投资者只关心P2P理财网站的回报是不是高、资金安全能不能得到保障,极少会有人注意P2P理财网站的有没有安全隐患,会不会给自己带来潜在的安全威胁。可P2P理财网站的安全隐患一直层出不穷,一年因为黑客事件而关停的平台超过100家。这不,最近又有一个P2P理财网站爆出奇葩漏洞了……
技术分析
白帽子 牛小帅:无意中看到某P2P理财网站的广告,就顺手走了一个安全监测。注册一个账号后,直接定位到找回密码页面http://www.***n***u.com/member/common/lookforpwd.html,页面看着简洁,实际存在漏洞——在这里动用抓包类黑客工具,就可以看到账号和密码,reg_phone后面的数字就是账号,checkcode后面的数字就是密码,通过这个方法就可以窜改任意用户的密码。
最奇葩的,验证码是摆设,无论对错都可以窜改,这就意味着只需要注册过的用户的密码全部都可以窜改。
无论验证码对错都可以修改
读者点评
@雪中带刀行:对了,的确有P2P理财网站以漏洞的名义敲诈,还有被流量攻击的,我记得以前人人贷就遭过,才宣布获得1.3亿美元的投资,两小时不到就被黑客盯上了,一口气发动了7GB的流量攻击,导致我们访问人人贷的都困难。
@苍山独行:这个方法可以看到用户的账户余额,但无法直接盗取钱财,怕就怕损人不利己的黑客乱买理财产品,那就悲剧了。
,
