绝大多数投资者只关心P2P理财网站的回报是不是高、资金安全能不能得到保障，极少会有人注意P2P理财网站的有没有安全隐患，会不会给自己带来潜在的安全威胁。可P2P理财网站的安全隐患一直层出不穷，一年因为黑客事件而关停的平台超过100家。这不，最近又有一个P2P理财网站爆出奇葩漏洞了……

技术分析

白帽子   牛小帅：无意中看到某P2P理财网站的广告，就顺手走了一个安全监测。注册一个账号后，直接定位到找回密码页面http://www.***n****.c*m/member/common/lookforpwd.html，页面看着简洁，实际存在漏洞——在这里动用抓包类黑客工具，就可以看到账号和密码，reg_phone后面的数字就是账号，checkcode后面的数字就是密码，通过这个方法就可以窜改任意用户的密码。

最奇葩的，验证码是摆设，无论对错都可以窜改，这就意味着只需要注册过的用户的密码全部都可以窜改。

无论验证码对错都可以修改

读者点评

@雪中带刀行：对了，的确有P2P理财网站以漏洞的名义敲诈，还有被流量攻击的，我记得以前人人贷就遭过，才宣布获得1.3亿美元的投资，两小时不到就被黑客盯上了，一口气发动了7GB的流量攻击，导致我们访问人人贷的都困难。

@苍山独行：这个方法可以看到用户的账户余额，但无法直接盗取钱财，怕就怕损人不利己的黑客乱买理财产品，那就悲剧了。