在對客戶網站以及APP進行滲透測試服務時候,越權漏洞對業務系統的正常運轉影響很大,很多客戶網站信息被泄露,數據庫被篡改一大部分原因跟越權漏洞有關,前端時候某金融客戶因為數據被泄露,通過老客戶介紹,找到我們SINE安全做滲透測試服務,找出數據被泄露的原因以及目前網站APP存在的未知漏洞,根據我們十多年的滲透經驗來分享這次網站安全測試的整個過程。
首先要收集客戶的資料,我們SINE安全技術與甲方的網站維護人員進行了溝通,確定下網站采用的是php語言,數據庫類型是Mysql,服務器采用的是linuxcentos,買的是香港阿里云ECS,數據庫采用的是內網傳輸并使用了RDS數據庫實例作為整個網站APP的運營環境.
聲音 | 光明日報:警惕以虛擬幣為噱頭的新式詐騙:12月20日,光明日報刊文“警惕以虛擬幣為噱頭的新式詐騙”。文章表示,最近幾年來,類似的“傳銷幣”詐騙層出不窮。一些詐騙案例中,甚至根本沒有實體產品,完全靠虛擬幣哄騙用戶通過發展下線的方式來擴大整個虛擬幣市場,刺激購買需求,炒作升值預期,最后收割用戶。這種打著區塊鏈新技術旗號的騙局,蘊含的金融風險不容小覷。面對這類新型傳銷詐騙方式,消費者要提高警惕,不可貪圖不切實際的暴利。此外,監管部門也要順應形勢的變化,及時調整對傳銷和虛擬幣非法交易的界定范圍,提高打擊的力度。尤其是對那些宣稱有各種神奇功效的產品,一定得撥開其虛假宣傳的障眼法,看看是否涉及傳銷幣騙局,真正實現對傳銷犯罪行為露頭就打。[2019/12/20]
在對客戶有了一定的了解后,客戶提供了網站的會員賬號密碼,我們模擬攻擊者的手法去黑盒測試目前網站存在的漏洞,登陸網站后,客戶存在交易系統功能,使用的是區塊鏈以及虛擬幣進行幣與幣之間的交易金融網站,包括幣幣交換,轉幣,提幣,沖幣,包括了去中心化,以及平臺與虛擬幣交易所進行安全通信,第三方的API接口,也就是說客戶的幣上了鏈,
動態 | 支付寶疑似回應幣安:禁止將支付寶用于虛擬幣交易:10月10日消息,據支付寶安全中心消息,其重申了對虛擬貨幣場外交易的態度,禁止將支付寶用于虛擬幣交易。支付寶表示,若發現交易涉及比特幣或其他虛擬貨幣交易,支付寶會立即停止相關支付服務。對于商戶涉及虛擬貨幣交易的,會堅決予以清退;對個人賬戶涉嫌虛擬貨幣交易的,根據情節采取限制賬戶收款功能,甚至永久限制收款等處理措施。
昨日報道,幣安宣布開通OTC交易功能,幣安CEO趙長鵬對此表示,用戶很快將能夠使用微信和支付寶購買加密貨幣。本次支付寶的聲明疑似是對此事的回應。[2019/10/10]
直接到交易所進行公開交易,資金安全很重要,只要出現一點安全隱患導致的損失可能達到幾十萬甚至上百萬,不過還好客戶只是用戶信息泄露,針對這一情況,我們展開了全面的人工滲透測試。
獨家 | 支付寶回應:堅決拒絕為虛擬幣網站提供收單服務:金色財經就“支付寶和騰訊下架OTC支付通道”一事采訪了支付寶官方工作人員,支付寶官方回應稱:堅決拒絕為虛擬幣網站提供收單服務。目前所排查到的虛擬幣交易平臺,支付寶均未提供收單服務。
據了解,目前火幣平臺使用的方式是允許用戶上傳支付寶,微信收錢碼或者添加銀行卡號,屬于C2C轉賬行為而不是商戶收單。
支付寶同時表示,未來將持續關注火幣網,并對市面上主流貨幣交易平臺進行逐一排查。如果發現已接入商戶有涉及虛擬幣交易的行為,也會發現一起,清退一起。針對有平臺違規使用支付寶logo的行為,支付寶也將采取法律手段,禁止侵權行為。
此外,支付寶還將通過風控技術,優化算法,對個人賬戶進行監測,對可能存在虛擬貨幣交易的個人賬戶進行排查,一經查實,支付寶將做限制收付款甚至封號等處罰處理。[2019/1/25]
聲音 | 肖颯:虛擬幣交易所有反洗錢的義務:據新浪財經消息,律師肖颯刊文指出,區塊鏈團隊的“技術猿們還是會關注‘尖叫的產品’,風險意識明顯較弱,至于反洗錢等問題甚至沒有深入思考過。而這是一條‘一票否決’的關鍵票,絕不能丟!”“我們建議具備能力的優質團隊,考慮配備專業的反洗錢師(總部在紐約的國際認證資格)”,至于反洗錢的義務,“當然,虛擬幣交易所,概莫能外。”[2018/9/19]
首先我們對用戶測試這里進行漏洞檢測,在這里跟大家簡單的介紹一下什么是越權漏洞,這種漏洞一般發生在網站前端與用戶進行交互的,包括get.post.cookies等方式的數據傳輸,如果傳輸過程中未對用戶當前的賬戶所屬權限進行安全判斷,那么就會導致通過修改數據包來查看其它用戶的一些信息,繞過權限的檢查,可直接查看任意用戶的信息,包括用戶的賬戶,注冊手機號,身份認證等信息。
接下來我們來實際操作,登陸網站,查看用戶信息,發現連接使用的是這種形式,如下:/user/58,上面的這個網址最后的值是58,與當前我們登陸的賬戶是相互對應的,也是ID值,USERID=58,也就是說我自己的賬戶是ID58,如果我修改后面的數值,并訪問打開,如果出現了其他用戶的賬戶信息,那么這就是越權漏洞。/user/60,打開,我們發現了問題,直接顯示手機號,用戶名,以及實名認證的身份證號碼,姓名,這是赤裸裸的網站漏洞啊!這安全防范意識也太薄弱了。
用戶信息查看這里存在越權漏洞,發生的原因是網站并沒有對用戶信息查看功能進行權限判斷,以及對賬戶所屬權限判斷,導致發生可以查看任意用戶ID的信息,如下圖所示:
漏洞很明顯,這是導致用戶信息泄露的主要原因,并且我們在測試用戶注冊的賬戶也發現了用戶信息泄露漏洞,我們抓取了POST到用戶注冊接口端這里,可以看到數據包里包含了userid,我們滲透測試對其ID值修改為61,然后服務器后端返回來的信息,提示用戶已存在,并帶著該ID=61的用戶信息,包含了姓名,郵箱地址,錢包地址,等一些隱私的信息,如下返回的200狀態代碼所示:
HTTP/1.1200OK
Date:Tue,08Mon202009:18:26GMT
Content-Type:text/html
Connection:OPEN
Set-Cookie:__cQDUSid=d869po9678ahj2ki98nbplgyh266;
Vary:Accept-Encoding
CF-RAY:d869po9678ahj2ki98nbplgyh266
Content-Length:500
{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".
通過上面的漏洞可以直接批量枚舉其他ID值的賬戶信息,導致網站的所有用戶信息都被泄露,漏洞危害極大,如果網站運營者不加以修復漏洞,后期用戶發展規模上來,很多人的信息泄露就麻煩了。如果您的網站以及APP也因為用戶信息被泄露,數據被篡改等安全問題困擾,要解決此問題建議對網站進行滲透測試服務,從根源去找出網站漏洞所在,防止網站繼續被攻擊,可以找專業的網站安全公司來處理,國內SINESAFE,深信服,三零衛士,綠盟都是比較不錯的安全公司,在滲透測試方面都是很有名的,尤其虛擬幣網站,虛擬幣交易所,區塊鏈網站的安全,在網站,APP,或者新功能上線之前一定要做滲透測試服務,提前檢查存在的漏洞隱患,盡早修復,防止后期發展規模壯大造成不必要的經濟損失。
醞釀已久的央行數字貨幣漸行漸近。據媒體報道,央行數字貨幣將首先在蘇州相城區試點展開,央行數字貨幣將作為交通費補貼的形式,在5月發放給蘇州相城區各區級機關、事業單位和直屬企業員工.
1900/1/1 0:00:00說起貨幣一般有點了解的都會說起宋朝的“交子”,“交子”其實并不算“創新”,“交子”之前還有漢朝的“白鹿幣”和唐朝的“飛錢”。今天我們來說說漢朝的“白鹿幣”.
1900/1/1 0:00:00EOS資訊 BM:DPOS是建立在許多技術共識變體之上的主觀治理模型BM發推表示,每一個區塊鏈都有兩種共識算法:自動、客觀、技術主導以及手動、主觀、管理主導.
1900/1/1 0:00:00始建國(公元8年—13年)是新朝開國皇帝王莽的第一個年號,共計6年。是歷史上第一個使用3個字的年號。“始建國”意思是“開始建立國家(王氏王莽天下).
1900/1/1 0:00:00經濟觀察網記者童鋒亮“對面來車了,大家注意,準備架槍。”在海島地圖中,從軍事基地到M城有一座跨海大橋,有經驗的王牌老炮正在緊鑼密鼓給隊友布陣,準備用祖傳的“堵橋”配方,殺對方一個措手不及.
1900/1/1 0:00:00本文介紹了人民幣跨境支付的三種模式、人民幣跨境銀行間支付清算系統的建設架構、人民幣跨境支付系統的運行機制及其作用,希望對你了解跨境支付有更深入的了解.
1900/1/1 0:00:00