某号称是互联网金融2.0的、成交量累计超千亿元的P2P网站，最近被乌云网爆出多个安全漏洞，然而网站无视这些漏洞威胁，继续鼓吹“打造成全球最大的金融产品信息经纪运营商”，话说用户资料全部泄露真的不要紧吗？

技术分析

白帽子   路人甲：一次偶然的机会，注册了某P2P网站，随手做了一个安全监测，在找回密码页面https://www.***.com/view/html/user/forgetPassword.shtml，随意输入一个密码提交，同时用黑客工具抓包，看到fail，这意味着找回密码失败，如果将fail改成success呢，就可以设置新密码了，也就是不需要旧密码就可以设置新密码。

修改成success

用这个方法，只要知道用户名就可以登录该用户的账号，拥有操作该账号的全部权限。怎么知道用户名呢？简单！只要在扫描黑客工具中输入https://www.***.com/web/user/valid/userInformation?uid=%27and(select%201%20from(select%20count(*),concat((select%20concat(CHAR(52),CHAR(67),CHAR(117),CHAR(90),CHAR(77),CHAR(108),CHAR(117),CHAR(102),CHAR(110),CHAR(56),CHAR(119))%20from%20information_schema.tables%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a)and，就可以看到该网站的数据库，里面有十来万用户的基本数据。

数据库中保护十几万会员的个人隐私

读者点评

@三月轻愁：黑市中这样的账号好像是10元一个，感觉眼前一堆金币！

@冰喵RTP：数据库早就被拖库了，听说主站资料都被人备份了，这样做P2P理财网站也是醉了！