发布时间:2024-5-9 分类: 电商动态
在对客户网站和应用进行渗透测试服务时,未经授权的漏洞对业务系统的正常运行有很大影响。很多客户的网站信息已经泄露,数据库被篡改的原因很大一部分与未经授权的漏洞有关。在前端,一位金融客户通过老客户的介绍找到了我们的SINE安全做渗透测试服务,找出了数据泄露的原因和目前网站app存在的未知漏洞。根据我们十几年的渗透经验,我们分享了这次网站安全测试的全过程。
首先,我们需要收集客户的数据。我司SINE安全技术与甲方网站维护人员沟通,确定网站使用php语言(Thinkphp二次开发系统),数据库类型为Mysql,服务器使用linuxcentos,ECS在阿里云, 香港数据库采用内网传输,使用RDS数据库实例作为整个网站App的运行环境。在对客户有一定了解后,客户提供网站的会员账号密码。我们模拟攻击者的方法去黑盒测试当前网站存在的漏洞。登录网站后,客户拥有交易系统的功能,使用区块链和虚拟货币进行货币之间的交易,包括货币兑换、货币转账和货币支取。冲币包括去中心化,平台与虚拟货币交易所之间的安全通信,以及第三方的ApI接口,也就是说客户的货币是挂钩的,直接在交易所交易,所以资金的安全非常重要。只要有一点安全隐患,损失可能达到几十万甚至上百万,但好在客户只是泄露了用户信息。针对这种情况,我们推出了全面的人工渗透测试。
首先,我们在这里测试这个漏洞。在这里,我们将简要介绍什么是越权漏洞。这种漏洞一般发生在网站前端与用户进行交互,包括以get.post.cookies的形式进行数据传输,如果在传输过程中没有对用户的当前账号权限进行安全判断,会导致修改数据包查看其他用户的一些信息,绕过权限检查,直接查看任何用户的信息,包括用户的账号和注册的手机号。接下来我们实际操作,登录网站,查看用户信息,发现链接是这个形式,如下:/user/58。上面网站的最后一个值是58,对应我们登录的当前账号,也是ID值,USERID=58,也就是说我自己的账号是ID58。如果我修改后一个值打开,如果出现其他用户的账号信息,/user/60,打开,我们发现一个问题,直接显示手机号、用户名,以及实名认证的ID号和姓名,这是一个赤裸裸的网站漏洞!这种安全意识太弱了。
查看用户信息时存在越权漏洞。原因是网站没有判断用户信息查看功能的权限和账号的权限,导致信息可以查看任意用户ID,如下图所示:
漏洞明显,是导致用户信息泄露的主要原因,我们在测试用户注册的账号时也发现了用户信息泄露漏洞。我们将pOST抓取到用户注册界面,可以看到数据包中包含了userid,我们的渗透测试将其id值修改为61,然后服务器后端返回的信息提示用户存在,其中ID=61的用户信息,包括姓名、电子邮件地址、钱包地址等一些隐私。
HTTp/1.1200OK
日期:08月08Mon202009:18:26GMT
内容类型:文本/html
连接:打开
set-Cookie : _ _ CqDuSid=d 869 po 9678 ahj2ki 98 nbplgyh 266;
Vary:Accept接受-编码
CF-ray :d 869 po 9678 ahj2ki 98 nbplgyh 266
内容-长度:500
{\'error\':\'exist \',\' user\':[{\'id\':\'61 \',\' username\': \'张春燕\',\' email \' : \' admin @ whocare * * * \',\' mobile\':13005858****,\' BTC \' : \' 69jn 986 bb 2356 ab 098 nny 889 \'。
其他ID值的账号信息可以通过上述漏洞直接批量枚举,导致网站所有用户信息泄露,漏洞危害极大。如果网站运营商不修复漏洞,后期用户会大规模发展,很多人会因为信息泄露而陷入困境。如果你的网站和App也存在用户信息泄露、数据被篡改等安全问题,建议对网站进行渗透测试服务,从根源上找出网站漏洞,防止网站继续被攻击。专业的网站安全公司可以处理。国内的SINESAFE、沈心、30 Guardian、绿盟都是比较不错的安全公司。渗透测试非常有名,尤其是针对虚拟货币网站、虚拟货币交易所和区块链网站的安全。渗透测试服务必须在网站、应用或新功能上线前进行,以便提前检查存在的漏洞和隐患并尽快修复,防止后期开发规模扩大造成不必要的经济损失。
