區塊鏈app安全防護 滲透測試中發現的越權漏洞分析與修復

在對客戶網站以及APP進行滲透測試服務時候，越權漏洞對業務系統的正常運轉影響很大，很多客戶網站資訊被洩露，資料庫被篡改一大部分原因跟越權漏洞有關，前端時候某金融客戶因為資料被洩露，透過老客戶介紹，找到我們SINE安全做滲透測試服務，找出資料被洩露的原因以及目前網站APP存在的未知漏洞，根據我們十多年的滲透經驗來分享這次網站安全測試的整個過程。

首先要收集客戶的資料，我們SINE安全技術與甲方的網站維護人員進行了溝通，確定下網站採用的是php語言（Thinkphp二次開發系統），資料庫型別是Mysql,伺服器採用的是linuxcentos，買的是香港阿里雲ECS，資料庫採用的是內網傳輸並使用了RDS資料庫例項作為整個網站APP的運營環境，在對客戶有了一定的瞭解後，客戶提供了網站的會員賬號密碼，我們模擬攻擊者的手法去黑盒測試目前網站存在的漏洞，登陸網站後，客戶存在交易系統功能，使用的是區塊鏈以及虛擬幣進行幣與幣之間的交易金融網站，包括幣幣交換，轉幣，提幣，衝幣，包括了去中心化，以及平臺與虛擬幣交易所進行安全通訊，第三方的API介面，也就是說客戶的幣上了鏈，直接到交易所進行公開交易，資金安全很重要，只要出現一點安全隱患導致的損失可能達到幾十萬甚至上百萬，不過還好客戶只是使用者資訊洩露，針對這一情況，我們展開了全面的人工 滲透測試。

首先我們對使用者測試這裡進行漏洞檢測，在這裡跟大家簡單的介紹一下什麼是越權漏洞，這種漏洞一般發生在網站前端與使用者進行互動的，包括get.post.cookies等方式的資料傳輸，如果傳輸過程中未對使用者當前的賬戶所屬許可權進行安全判斷，那麼就會導致透過修改資料包來檢視其它使用者的一些資訊，繞過許可權的檢查，可直接檢視任意使用者的資訊，包括使用者的賬戶，註冊手機號，身份認證等資訊。接下來我們來實際操作，登陸網站，檢視使用者資訊，發現連結使用的是這種形式，如下：/user/58,上面的這個網址最後的值是58，與當前我們登陸的賬戶是相互對應的，也是ID值，USERID=58，也就是說我自己的賬戶是ID58，如果我修改後面的數值，並訪問開啟，如果出現了其他使用者的賬戶資訊，那麼這就是越權漏洞。/user/60，開啟，我們發現了問題，直接顯示手機號，使用者名稱，以及實名認證的身份證號碼，姓名，這是赤裸裸的網站漏洞啊！這安全防範意識也太薄弱了。

使用者資訊檢視這裡存在越權漏洞，發生的原因是網站並沒有對使用者資訊檢視功能進行許可權判斷，以及對賬戶所屬許可權判斷，導致發生可以檢視任意使用者ID的資訊，如下圖所示：

漏洞很明顯，這是導致使用者資訊洩露的主要原因，並且我們在測試使用者註冊的賬戶也發現了使用者資訊洩露漏洞，我們抓取了POST到使用者註冊介面端這裡，可以看到資料包裡包含了userid，我們滲透測試對其ID值修改為61，然後伺服器後端返回來的資訊，提示使用者已存在，並帶著該ID=61的使用者資訊，包含了姓名，郵箱地址，錢包地址，等一些隱私的資訊，如下返回的200狀態程式碼所示：

HTTP/1.1 200 OK

Date: Tue, 08 Mon 2020 09:18:26 GMT

Content-Type: text/html

Connection: OPEN

Set-Cookie: __cQDUSid=d869po9678ahj2ki98nbplgyh266;

Vary: Accept-Encoding

CF-RAY: d869po9678ahj2ki98nbplgyh266

Content-Length: 500

{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare***","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".

透過上面的漏洞可以直接批次列舉其他ID值的賬戶資訊，導致網站的所有使用者資訊都被洩露，漏洞危害極大，如果網站運營者不加以修復漏洞，後期使用者發展規模上來，很多人的資訊洩露就麻煩了。如果您的網站以及APP也因為使用者資訊被洩露，資料被篡改等安全問題困擾，要解決此問題建議對網站進行滲透測試服務，從根源去找出網站漏洞所在，防止網站繼續被攻擊，可以找專業的 網站安全公司來處理，國內SINESAFE，深信服，三零衛士，綠盟都是比較不錯的安全公司，在滲透測試方面都是很有名的，尤其虛擬幣網站，虛擬幣交易所，區塊鏈網站的安全，在網站，APP，或者新功能上線之前一定要做滲透測試服務，提前檢查存在的漏洞隱患，儘早修復，防止後期發展規模壯大造成不必要的經濟損失。