在對客戶網(wǎng)站以及APP進(jìn)行滲透測試服務(wù)時候，越權(quán)漏洞對業(yè)務(wù)系統(tǒng)的正常運轉(zhuǎn)影響很大，很多客戶網(wǎng)站信息被泄露，數(shù)據(jù)庫被篡改一大部分原因跟越權(quán)漏洞有關(guān)，前端時候某金融客戶因為數(shù)據(jù)被泄露，通過老客戶介紹，找到我們做滲透測試服務(wù)，找出數(shù)據(jù)被泄露的原因以及目前網(wǎng)站APP存在的未知漏洞，根據(jù)我們十多年的滲透經(jīng)驗來分享這次網(wǎng)站安全測試的整個過程。

首先要收集客戶的資料，我們技術(shù)與甲方的網(wǎng)站維護(hù)人員進(jìn)行了溝通，確定下網(wǎng)站采用的是php語言(Thinkphp二次開發(fā)系統(tǒng))，數(shù)據(jù)庫類型是Mysql,服務(wù)器采用的是linuxcentos，買的是香港阿里云ECS，數(shù)據(jù)庫采用的是內(nèi)網(wǎng)傳輸并使用了RDS數(shù)據(jù)庫實例作為整個網(wǎng)站APP的運營環(huán)境，在對客戶有了一定的了解后，客戶提供了網(wǎng)站的會員賬號密碼，我們模擬攻擊者的手法去黑盒測試目前網(wǎng)站存在的漏洞，登陸網(wǎng)站后，客戶存在交易系統(tǒng)功能，使用的是區(qū)塊鏈以及虛擬幣進(jìn)行幣與幣之間的交易金融網(wǎng)站，包括幣幣交換，轉(zhuǎn)幣，提幣，沖幣，包括了去中心化，以及平臺與虛擬幣交易所進(jìn)行安全通信，第三方的API接口，也就是說客戶的幣上了鏈，直接到交易所進(jìn)行公開交易，資金安全很重要，只要出現(xiàn)一點安全隱患導(dǎo)致的損失可能達(dá)到幾十萬甚至上百萬，不過還好客戶只是用戶信息泄露，針對這一情況，我們展開了全面的人工滲透測試。

首先我們對用戶測試這里進(jìn)行漏洞檢測，在這里跟大家簡單的介紹一下什么是越權(quán)漏洞，這種漏洞一般發(fā)生在網(wǎng)站前端與用戶進(jìn)行交互的，包括get.post.cookies等方式的數(shù)據(jù)傳輸，如果傳輸過程中未對用戶當(dāng)前的賬戶所屬權(quán)限進(jìn)行安全判斷，那么就會導(dǎo)致通過修改數(shù)據(jù)包來查看其它用戶的一些信息，繞過權(quán)限的檢查，可直接查看任意用戶的信息，包括用戶的賬戶，注冊手機(jī)號，身份認(rèn)證等信息。接下來我們來實際操作，登陸網(wǎng)站，查看用戶信息，發(fā)現(xiàn)鏈接使用的是這種形式，如下：/user/58,上面的這個網(wǎng)址最后的值是58，與當(dāng)前我們登陸的賬戶是相互對應(yīng)的，也是ID值，USERID=58，也就是說我自己的賬戶是ID58，如果我修改后面的數(shù)值，并訪問打開，如果出現(xiàn)了其他用戶的賬戶信息，那么這就是越權(quán)漏洞。/user/60，打開，我們發(fā)現(xiàn)了問題，直接顯示手機(jī)號，用戶名，以及實名認(rèn)證的身份證號碼，姓名，這是赤裸裸的網(wǎng)站漏洞啊!這安全防范意識也太薄弱了。

用戶信息查看這里存在越權(quán)漏洞，發(fā)生的原因是網(wǎng)站并沒有對用戶信息查看功能進(jìn)行權(quán)限判斷，以及對賬戶所屬權(quán)限判斷，導(dǎo)致發(fā)生可以查看任意用戶ID的信息，如下圖所示：

漏洞很明顯，這是導(dǎo)致用戶信息泄露的主要原因，并且我們在測試用戶注冊的賬戶也發(fā)現(xiàn)了用戶信息泄露漏洞，我們抓取了POST到用戶注冊接口端這里，可以看到數(shù)據(jù)包里包含了userid，我們滲透測試對其ID值修改為61，然后服務(wù)器后端返回來的信息，提示用戶已存在，并帶著該ID=61的用戶信息，包含了姓名，郵箱地址，錢包地址，等一些隱私的信息，如下返回的200狀態(tài)代碼所示：

HTTP/1.1 200 OK

Date: Tue, 08 Mon 2020 09:18:26 GMT

Content-Type: text/html

Connection: OPEN

Set-Cookie: __cQDUSid=d869po9678ahj2ki98nbplgyh266;

Vary: Accept-Encoding

CF-RAY: d869po9678ahj2ki98nbplgyh266

Content-Length: 500

{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare***","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".

通過上面的漏洞可以直接批量枚舉其他ID值的賬戶信息，導(dǎo)致網(wǎng)站的所有用戶信息都被泄露，漏洞危害極大，如果網(wǎng)站運營者不加以修復(fù)漏洞，后期用戶發(fā)展規(guī)模上來，很多人的信息泄露就麻煩了。如果您的網(wǎng)站以及APP也因為用戶信息被泄露，數(shù)據(jù)被篡改等安全問題困擾，要解決此問題建議對網(wǎng)站進(jìn)行滲透測試服務(wù)，從根源去找出網(wǎng)站漏洞所在，防止網(wǎng)站繼續(xù)被攻擊，可以找專業(yè)的網(wǎng)站安全公司來處理，尤其虛擬幣網(wǎng)站，虛擬幣交易所，區(qū)塊鏈網(wǎng)站的安全，在網(wǎng)站，APP，或者新功能上線之前一定要做滲透測試服務(wù)，提前檢查存在的漏洞隱患，盡早修復(fù)，防止后期發(fā)展規(guī)模壯大造成不必要的經(jīng)濟(jì)損失。

本文題目：虛擬幣交易所平臺的網(wǎng)站安全加固如何防護(hù)？從滲透測試服務(wù)開始
文章網(wǎng)址：http://aaarwkj.com/news/33269.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站維護(hù)、網(wǎng)站內(nèi)鏈、ChatGPT、App開發(fā)、Google、移動網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)