• _

  • 虚拟币交易所平台的网站安全加固如何防护?从渗透测试服务开始

    短视频、自媒体、人才和草根一站式服务

    在客户网站和APP上进行渗透测试服务时,未经授权的漏洞对业务系统的正常运行有很大影响。许多客户网站信息被泄露,数据库篡改的很大一部分原因与未经授权的漏洞有关。在前端,一位金融客户通过对老客户的介绍,发现了我们安全做渗透测试服务的必要性,找出了数据泄露的原因和当前网站APP存在的未知漏洞,并根据我们十多年的渗透经验,分享了本次网站安全测试的全过程。

    首先,我们需要收集顾客的信息。我们的SINE安全技术已与甲方网站维护人员沟通,确认下一个网站使用php语言(Thinkphp二次开发系统),数据库类型为Mysql,服务器使用linuxcentos,购买香港阿里云ECS。该数据库使用内部网络传输和RDS数据库实例作为整个网站应用程序的操作环境。在对客户有了一定的了解后,客户提供了网站成员账户的密码。我们模拟攻击者的方法对当前网站存在的漏洞进行黑箱测试。登录网站后,客户就拥有了交易系统的功能。客户使用区块链和虚拟硬币在硬币之间进行交易金融网站,包括货币兑换、货币转移和货币提取。货币清洗包括去集中化、平台和虚拟货币交易所之间的安全通信以及第三方应用编程接口,即客户的货币在交易所中链接并直接交易。资金安全非常重要。任何潜在的安全隐患造成的损失可能会达到几十万甚至几百万。然而,幸运的是,客户只是用户的信息泄露。鉴于这种情况,我们进行了全面的人工渗透试验。

    首先,我们将在这里为用户测试进行漏洞检测。这里我们将简要介绍什么是越权漏洞。该漏洞通常出现在网站的前端,与用户交互,包括通过get.post.cookies等方式传输数据。如果在传输过程中没有对用户的当前账户权限进行安全判断,那么其他用户的一些信息将通过修改数据包,绕过权限检查来查看,任何用户的信息都可以直接查看,包括用户账户、注册手机号码、身份认证等。接下来,让我们转到实际操作,登录网站,检查用户信息,并发现链接使用此表单,如下所示:/user/58。上面的最后一个值是58,它对应于我们登录的当前帐户,也是ID值。用户标识=58,也就是说,我自己的账户是ID58。如果我修改以下值并访问它,如果出现其他用户的帐户信息,则这是?桓鲈饺┒础?/user/60,打开,我们发现了问题,直接显示手机号、用户名和实名认证id号、用户名,这是赤裸裸的网站漏洞!这种安全意识太弱了。

    用户信息查看中存在越权漏洞。原因是网站没有判断用户信息查看功能的权限和账户的权限,导致信息可以查看任何用户标识,如下图:

    1578626459558.png

    漏洞明显,这是用户信息泄露的主要原因,我们也在测试用户注册的账户中发现了用户信息泄露漏洞。我们抓取了用户注册界面的POST,我们可以看到数据包包含用户标识。我们通过渗透测试将其标识值修改为61,然后从服务器后端返回的信息表明用户已经存在,并携带标识=61的用户信息,包括姓名、电子邮件地址、钱包地址和其他私人信息。返回以下200个状态代码:

    http/1.1 200ok

    date :tue,08m 2020 09336018: GMT

    content-type : text/html

    connection : open

    set-cookie : cqdusid=d 869 po 9678 ahj2ki 98 nbplgyh 266;

    Vary : Accept-Encoding

    CF-RAY :d 869 po 9678 ahj2ki 98 nbplgyh 266

    Content-Length : 500

    { ' error ' : ' exist ',' user':[{'id':'61 ',' username': '张春燕',' email':'admin

    通过上述漏洞,可以直接批量枚举其他身份值的账户信息,导致网站的所有用户信息被泄露,危害极大。如果网站运营商不修复漏洞,后期用户开发规模将会加大,很多人的信息披露将会陷入困境。如果您的网站和APP也受到用户信息泄露和数据篡改等安全问题的困扰,建议您在网站上进行渗透测试服务来解决这个问题,找出网站漏洞的根本原因,防止网站受到攻击。你可以找一家专业的网站安全公司来处理这个问题。国内的安全网,深信,30卫士和绿联都是比较好的安全公司,在渗透测试方面非常有名,特别是虚拟钱币网站。为了虚拟货币兑换和区块链网站的安全,在网站、APP或新功能推出之前,必须提供渗透测试服务,以便提前检查潜在的漏洞并尽快修复,防止后期开发和扩展造成不必要的经济损失。