BIT:虚拟币安全防护 渗透测试中发现的越权漏洞分析与修复

在对客户网站以及APP进行渗透测试服务时候,越权漏洞对业务系统的正常运转影响很大,很多客户网站信息被泄露,数据库被篡改一大部分原因跟越权漏洞有关,前端时候某金融客户因为数据被泄露,通过老客户介绍,找到我们SINE安全做渗透测试服务,找出数据被泄露的原因以及目前网站APP存在的未知漏洞,根据我们十多年的渗透经验来分享这次网站安全测试的整个过程。

首先要收集客户的资料,我们SINE安全技术与甲方的网站维护人员进行了沟通,确定下网站采用的是php语言,数据库类型是Mysql,服务器采用的是linuxcentos,买的是香港阿里云ECS,数据库采用的是内网传输并使用了RDS数据库实例作为整个网站APP的运营环境.

最高法:增加虚拟币交易等新型非法吸收资金的行为方式:2月24日,最高人民法院发布《关于修改〈最高人民法院关于审理非法集资刑事案件具体应用法律若干问题的解释〉的决定》,增加网贷、虚拟币交易、融资租赁等新型非法吸收资金的行为方式和养老领域多种非法吸收资金的情形。[2022/2/24 10:13:27]

在对客户有了一定的了解后,客户提供了网站的会员账号密码,我们模拟攻击者的手法去黑盒测试目前网站存在的漏洞,登陆网站后,客户存在交易系统功能,使用的是区块链以及虚拟币进行币与币之间的交易金融网站,包括币币交换,转币,提币,冲币,包括了去中心化,以及平台与虚拟币交易所进行安全通信,第三方的API接口,也就是说客户的币上了链,

直接到交易所进行公开交易,资金安全很重要,只要出现一点安全隐患导致的损失可能达到几十万甚至上百万,不过还好客户只是用户信息泄露,针对这一情况,我们展开了全面的人工渗透测试。

律师:虚拟币项目方、交易平台和矿场等或将出现新一轮的“出海潮”:5月24日消息,对于金融委会议要求打击比特币挖矿和交易行为,北京尚光律师事务所刑事部主任丁飞鹏表示,这必将对虚拟币行业生态产生深刻影响。其一,以挖矿为名的代币发行融资,可能被全面叫停,涉嫌非法集资、非法发行证券或非法发售代币票券等犯罪的线索可能会被移送司法机关;其二,虚拟币交易平台的合约交易,恐怕无法继续运行,甚至不排除有被进一步追责的可能;其三,国内挖矿被全面禁止后,矿机商等将面临转型或内销转出口的压力,部分模式币的矿机商,可能面临倒闭或用户维权的风险。另外,虚拟币项目方、交易平台和矿场等或将出现新一轮的“出海潮”。(证券日报)[2021/5/24 22:36:12]

独家 | 支付宝回应:坚决拒绝为虚拟币网站提供收单服务:金色财经就“支付宝和腾讯下架OTC支付通道”一事采访了支付宝官方工作人员,支付宝官方回应称:坚决拒绝为虚拟币网站提供收单服务。目前所排查到的虚拟币交易平台,支付宝均未提供收单服务。

据了解,目前火币平台使用的方式是允许用户上传支付宝,微信收钱码或者添加银行卡号,属于C2C转账行为而不是商户收单。

支付宝同时表示,未来将持续关注火币网,并对市面上主流货币交易平台进行逐一排查。如果发现已接入商户有涉及虚拟币交易的行为,也会发现一起,清退一起。针对有平台违规使用支付宝logo的行为,支付宝也将采取法律手段,禁止侵权行为。

此外,支付宝还将通过风控技术,优化算法,对个人账户进行监测,对可能存在虚拟货币交易的个人账户进行排查,一经查实,支付宝将做限制收付款甚至封号等处罚处理。[2019/1/25]

首先我们对用户测试这里进行漏洞检测,在这里跟大家简单的介绍一下什么是越权漏洞,这种漏洞一般发生在网站前端与用户进行交互的,包括get.post.cookies等方式的数据传输,如果传输过程中未对用户当前的账户所属权限进行安全判断,那么就会导致通过修改数据包来查看其它用户的一些信息,绕过权限的检查,可直接查看任意用户的信息,包括用户的账户,注册手机号,身份认证等信息。

央视财经再度发声:虚拟币场外交易绕监管,交易所挣钱花样多:5月22日晚,央视财经频道《经济信息联播》节目三问区块链:1.代币交易所外迁,数量功能均增加。自去年9月4日之后,国内交易所外迁的同时,还新增了“场外交易”功能。专家表示该功能的推出是为了绕开监管,吸引国内投资者入场;2.代币市场乱象横生,交易所挣钱花样多。手续费不再是代币交易所的唯一收入来源,由于各国监管政策不够完善,高额的上币费、收取项目方的原始币赚差价、交易所发行自己的代币进行上市交易皆为代币交易所的收入来源;3.遏制乱象,代币交易所监管亟待破局。针对3月30日某交易所的回滚行为,专家表示回滚事件本身就是一个操纵市场的行为,也说明了我们现在的交易所是无监管,非常乱的状态。[2018/5/22]

接下来我们来实际操作,登陆网站,查看用户信息,发现连接使用的是这种形式,如下:/user/58,上面的这个网址最后的值是58,与当前我们登陆的账户是相互对应的,也是ID值,USERID=58,也就是说我自己的账户是ID58,如果我修改后面的数值,并访问打开,如果出现了其他用户的账户信息,那么这就是越权漏洞。/user/60,打开,我们发现了问题,直接显示手机号,用户名,以及实名认证的身份证号码,姓名,这是赤裸裸的网站漏洞啊!这安全防范意识也太薄弱了。

用户信息查看这里存在越权漏洞,发生的原因是网站并没有对用户信息查看功能进行权限判断,以及对账户所属权限判断,导致发生可以查看任意用户ID的信息,如下图所示:

漏洞很明显,这是导致用户信息泄露的主要原因,并且我们在测试用户注册的账户也发现了用户信息泄露漏洞,我们抓取了POST到用户注册接口端这里,可以看到数据包里包含了userid,我们渗透测试对其ID值修改为61,然后服务器后端返回来的信息,提示用户已存在,并带着该ID=61的用户信息,包含了姓名,邮箱地址,钱包地址,等一些隐私的信息,如下返回的200状态代码所示:

HTTP/1.1200OK

Date:Tue,08Mon202009:18:26GMT

Content-Type:text/html

Connection:OPEN

Set-Cookie:__cQDUSid=d869po9678ahj2ki98nbplgyh266;

Vary:Accept-Encoding

CF-RAY:d869po9678ahj2ki98nbplgyh266

Content-Length:500

{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".

通过上面的漏洞可以直接批量枚举其他ID值的账户信息,导致网站的所有用户信息都被泄露,漏洞危害极大,如果网站运营者不加以修复漏洞,后期用户发展规模上来,很多人的信息泄露就麻烦了。如果您的网站以及APP也因为用户信息被泄露,数据被篡改等安全问题困扰,要解决此问题建议对网站进行渗透测试服务,从根源去找出网站漏洞所在,防止网站继续被攻击,可以找专业的网站安全公司来处理,国内SINESAFE,深信服,三零卫士,绿盟都是比较不错的安全公司,在渗透测试方面都是很有名的,尤其虚拟币网站,虚拟币交易所,区块链网站的安全,在网站,APP,或者新功能上线之前一定要做渗透测试服务,提前检查存在的漏洞隐患,尽早修复,防止后期发展规模壮大造成不必要的经济损失。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

[0:15ms0-4:953ms