國外研究人員披露金融平臺危及數百萬使用者的SSRF漏洞

編輯：左右裡

近日，Salt Labs的研究人員發現了大型金融科技平臺Acme Fintech其API中的一個伺服器端請求偽造（SSRF）漏洞。研究團隊在該平臺資金轉移功能的網頁API中發現了該漏洞，如果該漏洞被利用，攻擊者可以透過使用該平臺獲得對銀行系統的管理訪問許可權來執行各種惡意活動，如洩露使用者的個人資料、訪問使用者的銀行詳細資訊和金融交易、將未經授權的資金轉入自己的銀行帳戶。

Acme Fintech公司為各種規模的銀行提供“數字化轉型”服務——將傳統銀行服務轉換為線上服務，使用者可以將資金在平臺與銀行之間週轉。該平臺已整合到許多銀行系統中，擁有數百萬活躍的日常使用者。

研究人員表示，像這樣的平臺被認為是攻擊者濫用API漏洞的主要目標。這主要有兩個原因：一是他們的API環境和整體功能非常豐富及複雜，這意味著開發過程很可能存在錯誤或忽略細節。二是如果非法分子成功攻擊該型別的平臺，就可以控制數百萬使用者的銀行賬戶和資金，潛在的利潤是巨大的。

研究人員稱，如果非法分子發現此漏洞，他們可能會對金融科技公司及其使用者造成嚴重損害。出於商業道德的原因，Salt Labs研究團隊沒有進行更進一步的研究工作，但他們相信潛在的損害會更大，如允許攻擊者操縱使用者資金。

Salt Labs研究團隊表示，他們已經向該公司報告了這一問題，並已得到解決。但令他們擔憂的是，他們的整個攻擊過程、研究過程完全沒有被銀行注意到。這家金融科技公司使用傳統的WAF解決方案來保護其站點，不幸的是，這些裝置無法檢測到API攻擊的微妙操作特徵。

完整報告連結：

https://salt.security/blog/api-threat-research-server-side-request-forgery-on-fintech-platform-enabled-administrative-account-takeover

資訊來源：salt security

轉載請註明出處和本文連結

每日漲知識

網路靶場

主要是指透過虛擬環境與真實裝置相結合，模擬模擬出真實賽博網路空間攻防作戰環境，能夠支撐攻防演練、安全教育、網路空間作戰能力研究和網路武器裝備驗證試驗平臺。

推薦文章++++

* Block披露其影響820萬客戶的資料洩露事件

* 美德聯合執法拿下世界最大暗網市場

* 周杰倫價值百萬元的NFT被盜

* 一年損失24億美元，FBI“鷹掃行動”抓捕65名電信詐騙嫌疑人

* Lapsus$迴歸，洩露IT巨頭Globant 70GB資料

* 6.25億美元，再次重新整理加密貨幣盜竊案紀錄

* 谷歌揭露兩個朝鮮駭客組織的網路攻擊活動

﹀

﹀

﹀