當前位置:首頁 >  站長 >  建站經驗 >  正文

虛擬幣交易所平臺的網站安全加固如何防護?從滲透測試服務開始

 2020-01-10 11:20  來源: A5用戶投稿   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

在對客戶網站以及APP進行滲透測試服務時候,越權漏洞對業(yè)務系統(tǒng)的正常運轉影響很大,很多客戶網站信息被泄露,數(shù)據(jù)庫被篡改一大部分原因跟越權漏洞有關,前端時候某金融客戶因為數(shù)據(jù)被泄露,通過老客戶介紹,找到我們SINE安全做滲透測試服務,找出數(shù)據(jù)被泄露的原因以及目前網站APP存在的未知漏洞,根據(jù)我們十多年的滲透經驗來分享這次網站安全測試的整個過程。

首先要收集客戶的資料,我們SINE安全技術與甲方的網站維護人員進行了溝通,確定下網站采用的是php語言(Thinkphp二次開發(fā)系統(tǒng)),數(shù)據(jù)庫類型是Mysql,服務器采用的是linuxcentos,買的是香港阿里云ECS,數(shù)據(jù)庫采用的是內網傳輸并使用了RDS數(shù)據(jù)庫實例作為整個網站APP的運營環(huán)境,在對客戶有了一定的了解后,客戶提供了網站的會員賬號密碼,我們模擬攻擊者的手法去黑盒測試目前網站存在的漏洞,登陸網站后,客戶存在交易系統(tǒng)功能,使用的是區(qū)塊鏈以及虛擬幣進行幣與幣之間的交易金融網站,包括幣幣交換,轉幣,提幣,沖幣,包括了去中心化,以及平臺與虛擬幣交易所進行安全通信,第三方的API接口,也就是說客戶的幣上了鏈,直接到交易所進行公開交易,資金安全很重要,只要出現(xiàn)一點安全隱患導致的損失可能達到幾十萬甚至上百萬,不過還好客戶只是用戶信息泄露,針對這一情況,我們展開了全面的人工滲透測試。

首先我們對用戶測試這里進行漏洞檢測,在這里跟大家簡單的介紹一下什么是越權漏洞,這種漏洞一般發(fā)生在網站前端與用戶進行交互的,包括get.post.cookies等方式的數(shù)據(jù)傳輸,如果傳輸過程中未對用戶當前的賬戶所屬權限進行安全判斷,那么就會導致通過修改數(shù)據(jù)包來查看其它用戶的一些信息,繞過權限的檢查,可直接查看任意用戶的信息,包括用戶的賬戶,注冊手機號,身份認證等信息。接下來我們來實際操作,登陸網站,查看用戶信息,發(fā)現(xiàn)鏈接使用的是這種形式,如下:/user/58,上面的這個網址最后的值是58,與當前我們登陸的賬戶是相互對應的,也是ID值,USERID=58,也就是說我自己的賬戶是ID58,如果我修改后面的數(shù)值,并訪問打開,如果出現(xiàn)了其他用戶的賬戶信息,那么這就是越權漏洞。/user/60,打開,我們發(fā)現(xiàn)了問題,直接顯示手機號,用戶名,以及實名認證的身份證號碼,姓名,這是*裸的網站漏洞啊!這安全防范意識也太薄弱了。

用戶信息查看這里存在越權漏洞,發(fā)生的原因是網站并沒有對用戶信息查看功能進行權限判斷,以及對賬戶所屬權限判斷,導致發(fā)生可以查看任意用戶ID的信息,如下圖所示:

漏洞很明顯,這是導致用戶信息泄露的主要原因,并且我們在測試用戶注冊的賬戶也發(fā)現(xiàn)了用戶信息泄露漏洞,我們抓取了POST到用戶注冊接口端這里,可以看到數(shù)據(jù)包里包含了userid,我們滲透測試對其ID值修改為61,然后服務器后端返回來的信息,提示用戶已存在,并帶著該ID=61的用戶信息,包含了姓名,郵箱地址,錢包地址,等一些隱私的信息,如下返回的200狀態(tài)代碼所示:

HTTP/1.1 200 OK

Date: Tue, 08 Mon 2020 09:18:26 GMT

Content-Type: text/html

Connection: OPEN

Set-Cookie: __cQDUSid=d869po9678ahj2ki98nbplgyh266;

Vary: Accept-Encoding

CF-RAY: d869po9678ahj2ki98nbplgyh266

Content-Length: 500

{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare***","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".

通過上面的漏洞可以直接批量枚舉其他ID值的賬戶信息,導致網站的所有用戶信息都被泄露,漏洞危害極大,如果網站運營者不加以修復漏洞,后期用戶發(fā)展規(guī)模上來,很多人的信息泄露就麻煩了。如果您的網站以及APP也因為用戶信息被泄露,數(shù)據(jù)被篡改等安全問題困擾,要解決此問題建議對網站進行滲透測試服務,從根源去找出網站漏洞所在,防止網站繼續(xù)被攻擊,可以找專業(yè)的網站安全公司來處理,國內SINESAFE,深信服,三零衛(wèi)士,綠盟都是比較不錯的安全公司,在滲透測試方面都是很有名的,尤其虛擬幣網站,虛擬幣交易所,區(qū)塊鏈網站的安全,在網站,APP,或者新功能上線之前一定要做滲透測試服務,提前檢查存在的漏洞隱患,盡早修復,防止后期發(fā)展規(guī)模壯大造成不必要的經濟損失。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關文章

熱門排行

信息推薦