在對客戶網站以及APP進行滲透測試服務時候,越權漏洞對業務系統的正常運轉影響很大,很多客戶網站信息被泄露,數據庫被篡改一大部分原因跟越權漏洞有關,前端時候某金融客戶因為數據被泄露,通過老客戶介紹,找到我們SINE安全做滲透測試服務,找出數據被泄露的原因以及目前網站APP存在的未知漏洞,根據我們十多年的滲透經驗來分享這次網站安全測試的整個過程。
首先要收集客戶的資料,我們SINE安全技術與甲方的網站維護人員進行了溝通,確定下網站采用的是php語言,數據庫類型是Mysql,服務器采用的是linuxcentos,買的是香港阿里云ECS,數據庫采用的是內網傳輸并使用了RDS數據庫實例作為整個網站APP的運營環境.
建行研究員:銀行現可識別虛擬幣交易 相信支付機構將提高異常交易識別能力:據證券時報5月24日消息,建行研究院研究員、高級經濟師曹磊介紹,銀行現在可以通過大數據手段完成客戶交易的識別,對于虛擬貨幣的交易以及結算可以通過資金的路徑,接收款項的交易平臺等方式進行提數和預警。曹磊表示:“目前銀行按照監管部門及國家部委的要求報送相應數據和名單,若有嫌疑人員觸犯國家相關法律法規的規定,銀行會按規定要求進行‘斷卡’。并按照機關的要求提供相應的證據。”曹磊從技術角度分析稱,目前來說,通過虛擬貨幣兌換法幣的過程,大多都是非現金過程,均會留下數字痕跡。通過C2C的模式,盡管可能暫時逃避監管,但是在金融機構大數據以及人工智能輔助下,相信支付寶和微信等支付機構對異常交易的識別能力會提高,從而更快鎖定交易及嫌疑人。[2021/5/24 22:36:30]
在對客戶有了一定的了解后,客戶提供了網站的會員賬號密碼,我們模擬攻擊者的手法去黑盒測試目前網站存在的漏洞,登陸網站后,客戶存在交易系統功能,使用的是區塊鏈以及虛擬幣進行幣與幣之間的交易金融網站,包括幣幣交換,轉幣,提幣,沖幣,包括了去中心化,以及平臺與虛擬幣交易所進行安全通信,第三方的API接口,也就是說客戶的幣上了鏈,
金色晨訊 | 螞蟻金服將排查虛擬幣場外交易 SEC將重審ETF提案:1.美國證券交易委員會將“重新審查”本周三對9項比特幣ETF提案發出的拒令。
2.英國司法部尋求利用區塊鏈保護數字證據。
3.中國銀行完成國內首筆區塊鏈技術下國際匯款業務。
4.Factom新專利尋求在區塊鏈上進行秘密數據共享。
5.Gartner估計2030年區塊鏈將產生1.76萬億美元至3.1萬億美元的商業價值。
6.已有269.6萬家網絡商店可通過Coinbase接受加密貨幣支付。
7.瑞波CEO稱區塊鏈和加密貨幣行業存在信息的錯誤傳播。
8.螞蟻金服將嚴密監控排查涉及虛擬幣場外交易。
9.騰訊回應稱已完成使用商戶號進行虛擬幣交易的清理。[2018/8/24]
直接到交易所進行公開交易,資金安全很重要,只要出現一點安全隱患導致的損失可能達到幾十萬甚至上百萬,不過還好客戶只是用戶信息泄露,針對這一情況,我們展開了全面的人工滲透測試。
聲音 | 北京市禁止承辦虛擬幣推介活動去年已開展:據第一財經報道,北京市朝陽區金融社會風險防控工作領導小組辦公室于8月22日下發《關于禁止承辦虛擬幣推介活動的通知》,要求各商場、酒店,賓館、寫字樓等地不得承辦任何形式的虛擬貨幣推介宣講等活動。對此,接近北京其他區域金融辦的人士表示“鼓勵區塊鏈,但反對虛擬貨幣,有些虛擬貨幣的推介活動就是打著區塊鏈的名目在做。”目前尚未對所管轄區域下發相關文件。但他表示,此項工作其實自去年來就已開展,禁止管轄區域所屬場所承辦虛擬貨幣推介活動。對于虛擬貨幣的線下推介活動,一位接近上海金融辦人士稱:“對于各個區域均有要求,如果了解到相關違規情況,監管也會介入,叫停相關宣傳推介。”[2018/8/24]
金色財經獨家分析 日本在虛擬幣支付領域潛力大:彭博社昨日總結了日本傳統巨頭進軍區塊鏈的情況,電商、社交、游戲、銀行、證券巨頭都已開始布局。金色財經分析,在中心化的支付領域,日本顯得極為保守,日常支付中信用卡、現今支付仍為主流,社交巨頭推出的linepay在日本普及度遠遠低于微信支付、支付寶等在中國的地位。至于虛擬貨幣日本的興趣更大,已經有350萬人口用虛擬貨幣交易,占其總人口的3%,相對虛擬貨幣發展歷史,已經是不小的規模,加之日本國內對于虛擬貨幣監管的環境,人本有望在虛擬貨幣支付這一站扭轉傳統移動端支付落后的局面。[2018/4/16]
首先我們對用戶測試這里進行漏洞檢測,在這里跟大家簡單的介紹一下什么是越權漏洞,這種漏洞一般發生在網站前端與用戶進行交互的,包括get.post.cookies等方式的數據傳輸,如果傳輸過程中未對用戶當前的賬戶所屬權限進行安全判斷,那么就會導致通過修改數據包來查看其它用戶的一些信息,繞過權限的檢查,可直接查看任意用戶的信息,包括用戶的賬戶,注冊手機號,身份認證等信息。
接下來我們來實際操作,登陸網站,查看用戶信息,發現連接使用的是這種形式,如下:/user/58,上面的這個網址最后的值是58,與當前我們登陸的賬戶是相互對應的,也是ID值,USERID=58,也就是說我自己的賬戶是ID58,如果我修改后面的數值,并訪問打開,如果出現了其他用戶的賬戶信息,那么這就是越權漏洞。/user/60,打開,我們發現了問題,直接顯示手機號,用戶名,以及實名認證的身份證號碼,姓名,這是赤裸裸的網站漏洞啊!這安全防范意識也太薄弱了。
用戶信息查看這里存在越權漏洞,發生的原因是網站并沒有對用戶信息查看功能進行權限判斷,以及對賬戶所屬權限判斷,導致發生可以查看任意用戶ID的信息,如下圖所示:
漏洞很明顯,這是導致用戶信息泄露的主要原因,并且我們在測試用戶注冊的賬戶也發現了用戶信息泄露漏洞,我們抓取了POST到用戶注冊接口端這里,可以看到數據包里包含了userid,我們滲透測試對其ID值修改為61,然后服務器后端返回來的信息,提示用戶已存在,并帶著該ID=61的用戶信息,包含了姓名,郵箱地址,錢包地址,等一些隱私的信息,如下返回的200狀態代碼所示:
HTTP/1.1200OK
Date:Tue,08Mon202009:18:26GMT
Content-Type:text/html
Connection:OPEN
Set-Cookie:__cQDUSid=d869po9678ahj2ki98nbplgyh266;
Vary:Accept-Encoding
CF-RAY:d869po9678ahj2ki98nbplgyh266
Content-Length:500
{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".
通過上面的漏洞可以直接批量枚舉其他ID值的賬戶信息,導致網站的所有用戶信息都被泄露,漏洞危害極大,如果網站運營者不加以修復漏洞,后期用戶發展規模上來,很多人的信息泄露就麻煩了。如果您的網站以及APP也因為用戶信息被泄露,數據被篡改等安全問題困擾,要解決此問題建議對網站進行滲透測試服務,從根源去找出網站漏洞所在,防止網站繼續被攻擊,可以找專業的網站安全公司來處理,國內SINESAFE,深信服,三零衛士,綠盟都是比較不錯的安全公司,在滲透測試方面都是很有名的,尤其虛擬幣網站,虛擬幣交易所,區塊鏈網站的安全,在網站,APP,或者新功能上線之前一定要做滲透測試服務,提前檢查存在的漏洞隱患,盡早修復,防止后期發展規模壯大造成不必要的經濟損失。
在傳統的期貨市場中,用戶不直接買賣實物商品,實物商品的交換只在合約到期交割時發生。也有一些期貨合約采用了現金交割的設計,即在合約到期時不進行實物的交換,只將差價以現金的形式進行交割.
1900/1/1 0:00:00比特幣是一種貨幣,對不對?好吧,是的,它可以用于購買,出售和定價商品,就像美元和歐元一樣。 來源:Pixabay 商品?想到比特幣,它的行為就像石油和黃金一樣,可以在現貨市場或通過諸如期貨的衍生.
1900/1/1 0:00:001月15日,比原鏈正式發布《MOV穩定金融體系白皮書1.0》。文中提出一種基于MOV跨鏈生態的穩定幣金融體系,從基本經濟學原理和MOV基礎設施建設角度出發,制定多元化抵押品框架,建設完備的穩定機.
1900/1/1 0:00:00本報記者鄭瑜張榮旺北京報道區塊鏈概念潮起風行,去年年底更是引爆資本市場。對于其真實應用效果,各界也一直保持著高度關注。在最近三個月內,深圳證券交易所投資者涉及區塊鏈的提問達到900多條.
1900/1/1 0:00:00壹——暴發的大陸 公元1545年,在海拔4000米以上的高度,古秘魯的波托西——里科山中,一批批穿著極為簡陋的印第安人,正被另外一批全副武裝的人揮著鐵鞭、吆五喝六地趕著下到礦洞里去.
1900/1/1 0:00:00冰島,北大西洋中的一座孤島,被評為全歐洲最貴的國家,沒有之一。那座孤島,曾經是我的一個夢。一場11天的冰島自駕之旅,藍湖溫泉、雷克雅未克、辛格韋德利國家公園、冰河湖、蓋歇爾間歇泉、黃金瀑布,塞里.
1900/1/1 0:00:00