BYSEC安全快報(bào):交易所出現(xiàn)邏輯漏洞,用戶資產(chǎn)遭受威脅區(qū)塊鏈
日前,知名區(qū)塊鏈安全團(tuán)隊(duì)BYSEC發(fā)現(xiàn)一交易所的邏輯漏洞。據(jù)分析,研究人員可以通過(guò)暴力破解并且修改賬戶密碼。
日前,知名區(qū)塊鏈安全團(tuán)隊(duì)BYSEC發(fā)現(xiàn)一交易所的邏輯漏洞。據(jù)分析,黑客可以通過(guò)暴力破解并且修改賬戶密碼。
旨在保證交易所的資金安全,督促其及時(shí)修復(fù)漏洞,BYSEC將披露此漏洞以及黑客的攻擊手法,并提供安全建議,望各大交易所防患于未然。
一:登陸賬號(hào)(以自己賬號(hào)為例),并找回驗(yàn)證碼
在找回密碼的地方,同樣由于驗(yàn)證碼只有四位,且有效期并不是短信所說(shuō)的五分鐘,可對(duì)驗(yàn)證碼進(jìn)行暴力破解。
找回密碼的地方發(fā)送驗(yàn)證碼后抓包
POST /index.php/index/login/findpwd.html HTTP/1.1
Host: www.xxx.com
Content-Length: 119
Accept: */*
Origin: http://www.xxx.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://www.xx/index.php/index/login/findpwd.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: UM_distinctid=163c8a60f6159c-0b4bd043eec36-5e183017-13c680-163c8a60f626f9; parent_qimo_sid_e9218490-6333-11e8-a3c9-b1478a226697=35fdda40-67c4-11e8-83e4-79a21b6dfa62; accessId=e9218490-6333-11e8-a3c9-b1478a226697; pageViewNum=47; UM_distinctid=163c995bcfe252-0d945e09fb268f-5e183017-13c680-163c995bcff46f; bad_ide9218490-6333-11e8-a3c9-b1478a226697=ee01da81-679f-11e8-823a-23b1a05aa1d6; PHPSESSID=l1qlol0kf3fnja716emjaotf90; CNZZDATA1273849067=1079089793-1528075768-|1528101117; names=4015pF5qhMZgbLFCCuwQtNG2VYYlyMnhmmNUSRlT9HIhwDyDUD1rxxryXPM1
Connection: close
userType=1&userName=1381&countryCode=+86&smsCode=4314&imgCode=gkc&newPassword=123456qwe&newPasswords=123456qwe
這里用自己的賬號(hào)進(jìn)行測(cè)試,針對(duì)四位驗(yàn)證碼smsCode進(jìn)行爆破
成功爆破出四位驗(yàn)證碼然后重置密碼
二:使用Burp Suite工具成功爆破出四位驗(yàn)證碼,重置密碼為123456qwe (重置前密碼是123456ttt)
三、和手機(jī)收到的驗(yàn)證碼一致
四、利用重置的密碼成功登錄賬戶
對(duì)此,BYSEC對(duì)廣大交易所提出安全建議:
1、添加驗(yàn)證碼機(jī)制,加入圖片(驗(yàn)證碼動(dòng)態(tài)生成且滿足隨機(jī)性)或者短信驗(yàn)證碼(驗(yàn)證碼具備超時(shí)時(shí)限一般為1分鐘,且在該時(shí)限內(nèi)錯(cuò)誤次數(shù)超過(guò)3次則進(jìn)行鎖定1分鐘后方能重新獲取驗(yàn)證碼,超時(shí)后驗(yàn)證碼自動(dòng)失效)!
2、驗(yàn)證碼必須在服務(wù)器端進(jìn)行校驗(yàn),客戶端的一切校驗(yàn)都是不安全的!
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
