區塊鏈app安全防護 滲透測試中發現的越權漏洞分析與修復
在對客戶網站以及APP進行滲透測試服務時候,越權漏洞對業務系統的正常運轉影響很大,很多客戶網站資訊被洩露,資料庫被篡改一大部分原因跟越權漏洞有關,前端時候某金融客戶因為資料被洩露,通過老客戶介紹,找到我們SINE安全做滲透測試服務,找出資料被洩露的原因以及目前網站APP存在的未知漏洞,根據我們十多年的滲透經驗來分享這次網站安全測試的整個過程。
首先要收集客戶的資料,我們SINE安全技術與甲方的網站維護人員進行了溝通,確定下網站採用的是php語言(Thinkphp二次開發系統),資料庫型別是Mysql,伺服器採用的是linuxcentos,買的是香港阿里雲ECS,資料庫採用的是內網傳輸並使用了RDS資料庫例項作為整個網站APP的運營環境,在對客戶有了一定的瞭解後,客戶提供了網站的會員賬號密碼,我們模擬攻擊者的手法去黑盒測試目前網站存在的漏洞,登陸網站後,客戶存在交易系統功能,使用的是區塊鏈以及虛擬幣進行幣與幣之間的交易金融網站,包括幣幣交換,轉幣,提幣,衝幣,包括了去中心化,以及平臺與虛擬幣交易所進行安全通訊,第三方的API介面,也就是說客戶的幣上了鏈,直接到交易所進行公開交易,資金安全很重要,只要出現一點安全隱患導致的損失可能達到幾十萬甚至上百萬,不過還好客戶只是使用者資訊洩露,針對這一情況,我們展開了全面的人工 滲透測試。
首先我們對使用者測試這裡進行漏洞檢測,在這裡跟大家簡單的介紹一下什麼是越權漏洞,這種漏洞一般發生在網站前端與使用者進行互動的,包括get.post.cookies等方式的資料傳輸,如果傳輸過程中未對使用者當前的賬戶所屬許可權進行安全判斷,那麼就會導致通過修改資料包來檢視其它使用者的一些資訊,繞過許可權的檢查,可直接檢視任意使用者的資訊,包括使用者的賬戶,註冊手機號,身份認證等資訊。接下來我們來實際操作,登陸網站,檢視使用者資訊,發現連結使用的是這種形式,如下:/user/58,上面的這個網址最後的值是58,與當前我們登陸的賬戶是相互對應的,也是ID值,USERID=58,也就是說我自己的賬戶是ID58,如果我修改後面的數值,並訪問開啟,如果出現了其他使用者的賬戶資訊,那麼這就是越權漏洞。/user/60,開啟,我們發現了問題,直接顯示手機號,使用者名稱,以及實名認證的身份證號碼,姓名,這是赤裸裸的網站漏洞啊!這安全防範意識也太薄弱了。
使用者資訊檢視這裡存在越權漏洞,發生的原因是網站並沒有對使用者資訊檢視功能進行許可權判斷,以及對賬戶所屬許可權判斷,導致發生可以檢視任意使用者ID的資訊,如下圖所示:
漏洞很明顯,這是導致使用者資訊洩露的主要原因,並且我們在測試使用者註冊的賬戶也發現了使用者資訊洩露漏洞,我們抓取了POST到使用者註冊介面端這裡,可以看到資料包裡包含了userid,我們滲透測試對其ID值修改為61,然後伺服器後端返回來的資訊,提示使用者已存在,並帶著該ID=61的使用者資訊,包含了姓名,郵箱地址,錢包地址,等一些隱私的資訊,如下返回的200狀態程式碼所示:
HTTP/1.1 200 OK
Date: Tue, 08 Mon 2020 09:18:26 GMT
Content-Type: text/html
Connection: OPEN
Set-Cookie: __cQDUSid=d869po9678ahj2ki98nbplgyh266;
Vary: Accept-Encoding
CF-RAY: d869po9678ahj2ki98nbplgyh266
Content-Length: 500
{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare***","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".
通過上面的漏洞可以直接批量列舉其他ID值的賬戶資訊,導致網站的所有使用者資訊都被洩露,漏洞危害極大,如果網站運營者不加以修復漏洞,後期使用者發展規模上來,很多人的資訊洩露就麻煩了。如果您的網站以及APP也因為使用者資訊被洩露,資料被篡改等安全問題困擾,要解決此問題建議對網站進行滲透測試服務,從根源去找出網站漏洞所在,防止網站繼續被攻擊,可以找專業的 網站安全公司來處理,國內SINESAFE,深信服,三零衛士,綠盟都是比較不錯的安全公司,在滲透測試方面都是很有名的,尤其虛擬幣網站,虛擬幣交易所,區塊鏈網站的安全,在網站,APP,或者新功能上線之前一定要做滲透測試服務,提前檢查存在的漏洞隱患,儘早修復,防止後期發展規模壯大造成不必要的經濟損失。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2672805/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 滲透測試公司 對於越權漏洞的檢測與修復
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- 網站安全測試之APP滲透測試漏洞網站APP
- 網站滲透測試服務之簡訊轟炸漏洞挖掘與修復網站
- 網站滲透測試服務之人工安全防護網站
- APP安全測試 該如何滲透檢測APP存在的漏洞APP
- 用APP滲透測試來查詢網站被駭客攻擊的根源以及漏洞修復APP網站
- 從滲透測試到漏洞掃描 看我們如何對網站做安全防護網站
- 滲透測試與漏洞掃描有什麼區別?
- 網站漏洞修復服務商關於越權漏洞分析網站
- APP滲透測試基本內容與漏洞掃描介紹APP
- 滲透測試對網站漏洞修復執行命令重點檢查網站
- 網站滲透測試漏洞分析程式碼架構網站架構
- 安全滲透測試中日誌分析技術與授權機制
- 網站安全公司 滲透測試中的漏洞資訊蒐集網站
- APP滲透測試 深入挖掘漏洞以及如何防止攻擊APP
- 安全測試和滲透測試的區別
- 網站滲透測試安全檢測漏洞網站
- 滲透測試之CSRF程式碼漏洞的檢測與加固方案
- 滲透測試——提權方式總結
- 網站漏洞檢測 滲透測試檢測手法網站
- 網站漏洞滲透測試覆盤檢查結果分析網站
- 滲透測試網站sql注入攻擊與防護網站SQL
- 網站安全防護-PHP反序列化漏洞修復網站PHP
- APP安全測試的主要內容 滲透APK DEX逆向 漏洞挖掘等等APPAPK
- 如何學習網站漏洞滲透測試學習網站
- 什麼是滲透測試?與安全測試的區別是什麼?
- 邏輯注入漏洞滲透測試檢測辦法
- APP安全檢測 滲透測試APP服務介紹與過程APP
- 記一次授權滲透測試
- 滲透測試會用到哪些工具?滲透測試教程
- 網站漏洞該如何修復 加強伺服器的安全防護網站伺服器
- 網站安全滲透測試服務之discuz漏洞挖掘與利用網站
- 滲透測試對檔案包含漏洞網站檢測網站
- Linuxglibc幽靈漏洞測試與修復方法Linux
- 滲透測試或安服等面試問題與答案面試
- 伺服器滲透測試之攻擊漏洞方法伺服器
- 記學習滲透測試之漏洞掃描一