虚拟币交易所平台的网站安全加固如何防护?从渗透测试服务开始



      在对客户网站以及APP进行渗透测试服务时候,越权漏洞对业务系统的正常运转影响很大,

很多客户网站信息被泄露,数据库被篡改一大部分原因跟越权漏洞有关,
前端时候某金融客

户因为数据被泄露,通过老客户介绍,找到我们SINE安全做渗透
测试服务,找出数据被泄露的

原因以及目前网站APP存在的未知漏洞,根据我们十
多年的渗透经验来分享这次网站安全测试

的整个过程。

 
首先要收集客户的资料,我们SINE安全技术与甲方的网站维护人员进行了沟通,确定下网站采

用的是php语言(Thinkphp二次开发系统),数据库类型是Mysql,服务
器采用的是linux

centos,买的是香港阿里云ECS,数据库采用的是内网传输并使
用了RDS数据库实例作为整个

网站APP的运营环境,在对客户有了一定的了解后,客
户提供了网站的会员账号密码,我们模

拟攻击者的手法去黑盒测试目前网站存在的
漏洞,登陆网站后,客户存在交易系统功能,使用

的是区块链以及虚拟币进行币与
币之间的交易金融网站,包括币币交换,转币,提币,冲币,

包括了去中心化,以
及平台与虚拟币交易所进行安全通信,第三方的API接口,也就是说客户的

币上了
链,直接到交易所进行公开交易,资金安全很重要,只要出现一点安全隐患导致的损失

可能达到几十万甚至上百万,不过还好客户只是用户信息泄露,针对这一情况
,我们展开了全

面的人工渗透测试

 
 
首先我们对用户测试这里进行漏洞检测,在这里跟大家简单的介绍一下什么是越权漏洞,这种漏

洞一般发生在网站前端与用户进行交互的,包括get.post.cookies等
方式的数据传输,如果传输过

程中未对用户当前的账户所属权限进行安全判断,那
么就会导致通过修改数据包来查看其它用户

的一些信息,绕过权限的检查,可直接
查看任意用户的信息,包括用户的账户,注册手机号,身份

认证等信息。接下来我
们来实际操作,登陆网站,查看用户信息,发现链接使用的是这种形式,如

下:
https://BTC.com/user/58,上面的这个网址最后的值是58,与当前我们登陆的账户是相互对

应的,也是ID值,USERID=58,也就是说我自己的账户是ID58,如果我修
改后面的数值,并访

问打开,如果出现了其他用户的账户信息,那么这就是越权漏
洞。https://BTC.com/user/60,打

开,我们发现了问题,直接显示手机号,用户
名,以及实名认证的身份证号码,姓名,这是赤裸

裸的网站漏洞啊!这安全防范意
识也太薄弱了。
 
 
用户信息查看这里存在越权漏洞,发生的原因是网站并没有对用户信息查看功能进行权限判断,以

及对账户所属权限判断,导致发生可以查看任意用户ID的信息,如
下图所示:

 
漏洞很明显,这是导致用户信息泄露的主要原因,并且我们在测试用户注册的账户也发现了用户信

息泄露漏洞,我们抓取了POST到用户注册接口端这里,可以看到数
据包里包含了userid,我们渗

透测试对其ID值修改为61,然后服务器后端返回来的
信息,提示用户已存在,并带着该ID=61

的用户信息,包含了姓名,邮箱地址,钱
包地址,等一些隐私的信息,如下返回的200状态代码

所示:
 
HTTP/1.1 200 OK
Date: Tue, 08 Mon 2020 09:18:26 GMT
Content-Type: text/html
Connection: OPEN
Set-Cookie: __cQDUSid=d869po9678ahj2ki98nbplgyh266; 
Vary: Accept-Encoding
Server: www.btc.com
CF-RAY: d869po9678ahj2ki98nbplgyh266
Content-Length: 500
{"error":"exist","user":
 
[{"id":"61","username":"zhangchunyan","email":"admin@whocare.com","mobil
 
e":13005858****,"btc":"69jn986bb2356abp098nny889".
 

 
通过上面的漏洞可以直接批量枚举其他ID值的账户信息,导致网站的所有用户信息都被泄露,漏洞

危害极大,如果网站运营者不加以修复漏洞,后期用户发展规模上
来,很多人的信息泄露就麻烦

了。如果您的网站以及APP也因为用户信息被泄露,
数据被篡改等安全问题困扰,要解决此问题建

议对网站进行渗透测试服务,从根源
去找出网站漏洞所在,防止网站继续被攻击,可以找专业的

站安全公司
来处理,
国内SINESAFE,深信服,三零卫士,绿盟都是比较不错的安全公司,在渗透

测试方
面都是很有名的,尤其虚拟币网站,虚拟币交易所,区块链网站的安全,在网站,APP,或

者新功能上线之前一定要做渗透测试服务,提前检查存在的漏洞隐患,尽
早修复,防止后期发展规

模壮大造成不必要的经济损失。
分享: