虛擬幣安全防護 滲透測試中發現的越權漏洞分析與修復_SIN

在對客戶網站以及APP進行滲透測試服務時候，越權漏洞對業務系統的正常運轉影響很大，很多客戶網站信息被泄露，數據庫被篡改一大部分原因跟越權漏洞有關，前端時候某金融客戶因為數據被泄露，通過老客戶介紹，找到我們SINE安全做滲透測試服務，找出數據被泄露的原因以及目前網站APP存在的未知漏洞，根據我們十多年的滲透經驗來分享這次網站安全測試的整個過程。

首先要收集客戶的資料，我們SINE安全技術與甲方的網站維護人員進行了溝通，確定下網站采用的是php語言，數據庫類型是Mysql,服務器采用的是linuxcentos，買的是香港阿里云ECS，數據庫采用的是內網傳輸并使用了RDS數據庫實例作為整個網站APP的運營環境.

廣東省通報以“消費全返+虛擬幣”為幌子的“云付通”特大非法集資案:廣東省廳14日通報十起典型案例，其中包括廣州“云付通”特大非法集資案。該案屬于以新型“消費全返+虛擬幣”概念為幌子的非法集資犯罪，通過設立“云返地產”“云返服飾”“應范”等投資項目，以高額消費現金返還、云幣返還及高年化收益率為誘餌，大肆發展會員、商家和合伙人，并設立虛擬貨幣交易平臺進行非法集資活動。（中國新聞網）[2020/5/15]

在對客戶有了一定的了解后，客戶提供了網站的會員賬號密碼，我們模擬攻擊者的手法去黑盒測試目前網站存在的漏洞，登陸網站后，客戶存在交易系統功能，使用的是區塊鏈以及虛擬幣進行幣與幣之間的交易金融網站，包括幣幣交換，轉幣，提幣，沖幣，包括了去中心化，以及平臺與虛擬幣交易所進行安全通信，第三方的API接口，也就是說客戶的幣上了鏈，

動態 | 騰訊回應：微信支付并未為相關虛擬幣提供交易支持:金色財經就“支付寶和騰訊下架OTC支付通道”一事采訪了騰訊官方工作人員，騰訊官方回應稱：微信支付并未為相關虛擬幣提供交易支持。針對截圖中顯示的微信支付圖標，為平臺方自主行為，騰訊正發函溝通其進行下架處理。騰訊一直以來對各種ICO亂象保持高度警惕。2017年央行等7部委發布《關于防范代幣發行融資風險的公告》，騰訊公司認真學習落實相關文件規定，積極開展專項行動加強信息渠道管理。

此外，在支付渠道上，針對違規行為：

1、限制平臺收款帳號的收款功能，禁止其使用微信支付進行虛擬幣交易收款；

2、限制個人賣家帳號的收款額度，僅滿足日常社交業務使用，限制虛擬幣相關交易收款。目前已完成所有使用商戶號進行虛擬幣交易的清理。

3、對日常交易進行實時監控，根據對命中的交易進行風險嚴重程度評估，或將采取直接攔截。[2019/1/25]

直接到交易所進行公開交易，資金安全很重要，只要出現一點安全隱患導致的損失可能達到幾十萬甚至上百萬，不過還好客戶只是用戶信息泄露，針對這一情況，我們展開了全面的人工滲透測試。

動態 | GEC虛擬幣項目存在詐騙嫌疑 當地民警提醒群眾保持警惕:據國際金融報消息，近期有記者發現一個名為GEC（Global Ecommerce Coin，全球電子商務幣）的虛擬幣存在詐騙嫌疑。據悉，GEC幣從引導到交易都具有較高的隱蔽性，不論是錢包鏈接還是交易平臺的鏈接只能在移動端打開，通過微信電腦版無法打開上述鏈接。在未注冊之前，記者通過國內的搜索引擎也無法搜索到該交易平臺。此外，由始至終，記者能接觸到的除了熟人小組長外，就只有一個隱藏在微信中名叫“女酋長”的大組長，其他操作都由機器人完成。小組長和大組長會引導潛在投資人通過“GECCEX”交易平臺進行GEC幣買賣。GEC幣號稱對應的是實體電商平臺的股權，如果不通過正規渠道融資，股權也是虛假的，最后投資人會買到虛假股權，后續會引發很多的法律糾紛。GEC幣項目運營主體所在地的上海市局徐匯分局的民警表示，未聽說相關GEC項目，對于類似虛擬幣項目，請保持警惕，發現虛假，詐騙情形請及時報警。[2018/12/3]

金色晨訊 | 螞蟻金服將排查虛擬幣場外交易 SEC將重審ETF提案:1.美國證券交易委員會將“重新審查”本周三對9項比特幣ETF提案發出的拒令。

2.英國司法部尋求利用區塊鏈保護數字證據。

3.中國銀行完成國內首筆區塊鏈技術下國際匯款業務。

4.Factom新專利尋求在區塊鏈上進行秘密數據共享。

5.Gartner估計2030年區塊鏈將產生1.76萬億美元至3.1萬億美元的商業價值。

6.已有269.6萬家網絡商店可通過Coinbase接受加密貨幣支付。

7.瑞波CEO稱區塊鏈和加密貨幣行業存在信息的錯誤傳播。

8.螞蟻金服將嚴密監控排查涉及虛擬幣場外交易。

9.騰訊回應稱已完成使用商戶號進行虛擬幣交易的清理。[2018/8/24]

首先我們對用戶測試這里進行漏洞檢測，在這里跟大家簡單的介紹一下什么是越權漏洞，這種漏洞一般發生在網站前端與用戶進行交互的，包括get.post.cookies等方式的數據傳輸，如果傳輸過程中未對用戶當前的賬戶所屬權限進行安全判斷，那么就會導致通過修改數據包來查看其它用戶的一些信息，繞過權限的檢查，可直接查看任意用戶的信息，包括用戶的賬戶，注冊手機號，身份認證等信息。

接下來我們來實際操作，登陸網站，查看用戶信息，發現連接使用的是這種形式，如下：/user/58,上面的這個網址最后的值是58，與當前我們登陸的賬戶是相互對應的，也是ID值，USERID=58，也就是說我自己的賬戶是ID58，如果我修改后面的數值，并訪問打開，如果出現了其他用戶的賬戶信息，那么這就是越權漏洞。/user/60，打開，我們發現了問題，直接顯示手機號，用戶名，以及實名認證的身份證號碼，姓名，這是赤裸裸的網站漏洞啊！這安全防范意識也太薄弱了。

用戶信息查看這里存在越權漏洞，發生的原因是網站并沒有對用戶信息查看功能進行權限判斷，以及對賬戶所屬權限判斷，導致發生可以查看任意用戶ID的信息，如下圖所示：

漏洞很明顯，這是導致用戶信息泄露的主要原因，并且我們在測試用戶注冊的賬戶也發現了用戶信息泄露漏洞，我們抓取了POST到用戶注冊接口端這里，可以看到數據包里包含了userid，我們滲透測試對其ID值修改為61，然后服務器后端返回來的信息，提示用戶已存在，并帶著該ID=61的用戶信息，包含了姓名，郵箱地址，錢包地址，等一些隱私的信息，如下返回的200狀態代碼所示：

HTTP/1.1200OK

Date:Tue,08Mon202009:18:26GMT

Content-Type:text/html

Connection:OPEN

Set-Cookie:__cQDUSid=d869po9678ahj2ki98nbplgyh266;

Vary:Accept-Encoding

CF-RAY:d869po9678ahj2ki98nbplgyh266

Content-Length:500

{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".

通過上面的漏洞可以直接批量枚舉其他ID值的賬戶信息，導致網站的所有用戶信息都被泄露，漏洞危害極大，如果網站運營者不加以修復漏洞，后期用戶發展規模上來，很多人的信息泄露就麻煩了。如果您的網站以及APP也因為用戶信息被泄露，數據被篡改等安全問題困擾，要解決此問題建議對網站進行滲透測試服務，從根源去找出網站漏洞所在，防止網站繼續被攻擊，可以找專業的網站安全公司來處理，國內SINESAFE，深信服，三零衛士，綠盟都是比較不錯的安全公司，在滲透測試方面都是很有名的，尤其虛擬幣網站，虛擬幣交易所，區塊鏈網站的安全，在網站，APP，或者新功能上線之前一定要做滲透測試服務，提前檢查存在的漏洞隱患，盡早修復，防止后期發展規模壯大造成不必要的經濟損失。

Tags：APP虛擬幣SINAPP幣是什么幣虛擬幣排行玩虛擬幣會被警察找嗎虛擬幣交易是不是犯法的SIN幣SIN價格

火必交易所