在对客户网站以及APP进行渗透测试服务时候,越权漏洞对业务系统的正常运转影响很大,很多客户网站信息被泄露,数据库被篡改一大部分原因跟越权漏洞有关,前端时候某金融客户因为数据被泄露,通过老客户介绍,找到我们SINE安全做渗透测试服务,找出数据被泄露的原因以及目前网站APP存在的未知漏洞,根据我们十多年的渗透经验来分享这次网站安全测试的整个过程。
首先要收集客户的资料,我们SINE安全技术与甲方的网站维护人员进行了沟通,确定下网站采用的是php语言,数据库类型是Mysql,服务器采用的是linuxcentos,买的是香港阿里云ECS,数据库采用的是内网传输并使用了RDS数据库实例作为整个网站APP的运营环境.
央视新闻:虚拟币交流群 你“没商量”:今日14:24左右,央视CCTV-13频道在“新闻直播间”中报道了有关虚拟币投资群的内容。节目报道了江苏苏州近期通报的一起案例,苏州市相城区的刘先生误入虚拟币投资陷阱,21万仅剩2000元。据民警介绍,这种投资类的之所以得手成功率高,一方面是团伙瞄准的都是有投资需求的人群;另一方面团伙也花了大量精力,冒充投资者不断在微群里发送虚假的赚钱截图,以此烘托气氛,让受害人逐渐放松警惕。[2021/6/6 23:16:33]
在对客户有了一定的了解后,客户提供了网站的会员账号密码,我们模拟攻击者的手法去黑盒测试目前网站存在的漏洞,登陆网站后,客户存在交易系统功能,使用的是区块链以及虚拟币进行币与币之间的交易金融网站,包括币币交换,转币,提币,冲币,包括了去中心化,以及平台与虚拟币交易所进行安全通信,第三方的API接口,也就是说客户的币上了链,
近期出现假借DCEP之名实施的虚拟币“老人局”:据新京报3月16日消息,近期多出现假借央行数字货币(DCEP)之名实施的虚拟币局,声称0投资拉人头,假借分红万亿实际在割韭菜。“央行国际钱包”主要以微信朋友圈宣传,并采取式的“拉人头”方式,宣称可以进行三代推广,每一层都能享受2%或者3%的收益。不过,在业内看来,伴随央行数字货币在深圳、苏州、北京、成都等地陆续落地测试,这类项目大多是蹭热点,属于虚拟币局旧瓶装新酒。值得一提的是,这类虚拟币资金盘为了拿到更多返佣,“疯狂”发展下线,持续上演击鼓传花游戏,而老人正在成为“猎物”。[2021/3/16 18:47:44]
直接到交易所进行公开交易,资金安全很重要,只要出现一点安全隐患导致的损失可能达到几十万甚至上百万,不过还好客户只是用户信息泄露,针对这一情况,我们展开了全面的人工渗透测试。
声音 | 中国银行前行长李礼辉:虚拟币存在技术性和经济性缺陷:金色财经报道,近日,原中国银行行长、现任中国互联网金融协会区块链研究组组长李礼辉作了以“区块链技术变革与产业创新”为主题的内部交流。李礼辉认为,虚拟币存在技术性和经济性缺陷;数字资产市场理论上有可能建立公平对等、点对点的直接交易机制,从而淡化中介甚至取消中介;数字货币的广泛应用,有可能对传统的金融机构造成颠覆性冲击。[2019/12/31]
首先我们对用户测试这里进行漏洞检测,在这里跟大家简单的介绍一下什么是越权漏洞,这种漏洞一般发生在网站前端与用户进行交互的,包括get.post.cookies等方式的数据传输,如果传输过程中未对用户当前的账户所属权限进行安全判断,那么就会导致通过修改数据包来查看其它用户的一些信息,绕过权限的检查,可直接查看任意用户的信息,包括用户的账户,注册手机号,身份认证等信息。
腾讯发布态势感知白皮书,虚拟币和ICO成为新型网络:近日,腾讯安全反实验室联合国家工商总局(广东深圳)反监测治理基地正式发布《腾讯2017年度态势感知白皮书》,《白皮书》列出了新型网络的主要模式,其中包括各类境外资金盘、虚拟币、ICO项目层出不穷,很多都是打着创新的幌子,许以高额汇报,其中蕴含非法发行、项目不实、跨境、、等诸多风险,造成大量资金流向境外,严重危害国家金融安全。比如百川币、SMI、MBI、马克币、贝塔币、暗黑币、美国富达复利理财、克拉币、石油币等等。金融投资理财类、商城返利、虚拟币、微商类型的组织数量最多,成为新型网络的主流模式。[2018/3/30]
接下来我们来实际操作,登陆网站,查看用户信息,发现连接使用的是这种形式,如下:/user/58,上面的这个网址最后的值是58,与当前我们登陆的账户是相互对应的,也是ID值,USERID=58,也就是说我自己的账户是ID58,如果我修改后面的数值,并访问打开,如果出现了其他用户的账户信息,那么这就是越权漏洞。/user/60,打开,我们发现了问题,直接显示手机号,用户名,以及实名认证的身份证号码,姓名,这是赤裸裸的网站漏洞啊!这安全防范意识也太薄弱了。
用户信息查看这里存在越权漏洞,发生的原因是网站并没有对用户信息查看功能进行权限判断,以及对账户所属权限判断,导致发生可以查看任意用户ID的信息,如下图所示:
漏洞很明显,这是导致用户信息泄露的主要原因,并且我们在测试用户注册的账户也发现了用户信息泄露漏洞,我们抓取了POST到用户注册接口端这里,可以看到数据包里包含了userid,我们渗透测试对其ID值修改为61,然后服务器后端返回来的信息,提示用户已存在,并带着该ID=61的用户信息,包含了姓名,邮箱地址,钱包地址,等一些隐私的信息,如下返回的200状态代码所示:
HTTP/1.1200OK
Date:Tue,08Mon202009:18:26GMT
Content-Type:text/html
Connection:OPEN
Set-Cookie:__cQDUSid=d869po9678ahj2ki98nbplgyh266;
Vary:Accept-Encoding
CF-RAY:d869po9678ahj2ki98nbplgyh266
Content-Length:500
{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".
通过上面的漏洞可以直接批量枚举其他ID值的账户信息,导致网站的所有用户信息都被泄露,漏洞危害极大,如果网站运营者不加以修复漏洞,后期用户发展规模上来,很多人的信息泄露就麻烦了。如果您的网站以及APP也因为用户信息被泄露,数据被篡改等安全问题困扰,要解决此问题建议对网站进行渗透测试服务,从根源去找出网站漏洞所在,防止网站继续被攻击,可以找专业的网站安全公司来处理,国内SINESAFE,深信服,三零卫士,绿盟都是比较不错的安全公司,在渗透测试方面都是很有名的,尤其虚拟币网站,虚拟币交易所,区块链网站的安全,在网站,APP,或者新功能上线之前一定要做渗透测试服务,提前检查存在的漏洞隐患,尽早修复,防止后期发展规模壮大造成不必要的经济损失。
1.捍卫国家货币主权,央行数字货币呼之欲出央行数字货币的适时推出,是为了捍卫在Libra冲击下国家货币的主权地位.
1900/1/1 0:00:002013年,比特币迎来了年初到年尾价格上翻陡峭时刻,炒币热潮带来全情普涨的格局,各方资本蜂拥而至,不管先前从事何种行业,都想在这片如火如荼的领域分一杯羹.
1900/1/1 0:00:00刘世海一边开着大卡车,一边盘算着,剩下的救援物资,他还得跑六趟,至少2月底才能回山东了。可是,回到山东能去哪儿呢?家是回不去了,他不想能“连累”今年要中考的孩子被隔离。但能去哪儿,他也不知道.
1900/1/1 0:00:00四年一次的减半行情的到来,没有给币圈带来理想中牛市,却给投资者带来“资产”的减半,回头看看资产减半还算好的,有的投资者账户资产已经归零。因为合约的存在,牛市可能没有那么快的到来。但不代表没有.
1900/1/1 0:00:00新型冠状病肺炎爆发后,许多行业开始了“在线自救”之路,其中包括酒吧、夜总会等原本被认为不可能在线的行业。最近几天,在短视频和直播平台上,不再是美女们的唱歌和游戏玩家,而是DJ们的打球画面.
1900/1/1 0:00:003月2日中国境外的新冠肺炎累积确诊已经超过了8000人,许多国家都有了确诊病例。新冠如同一个不负责任的班主任,抱着一叠乱糟糟的试卷走进来,抛出一句全班统考,然后它就不管了.
1900/1/1 0:00:00