APP:虚拟币安全防护 渗透测试中发现的越权漏洞分析与修复

在对客户网站以及APP进行渗透测试服务时候，越权漏洞对业务系统的正常运转影响很大，很多客户网站信息被泄露，数据库被篡改一大部分原因跟越权漏洞有关，前端时候某金融客户因为数据被泄露，通过老客户介绍，找到我们SINE安全做渗透测试服务，找出数据被泄露的原因以及目前网站APP存在的未知漏洞，根据我们十多年的渗透经验来分享这次网站安全测试的整个过程。

首先要收集客户的资料，我们SINE安全技术与甲方的网站维护人员进行了沟通，确定下网站采用的是php语言，数据库类型是Mysql,服务器采用的是linuxcentos，买的是香港阿里云ECS，数据库采用的是内网传输并使用了RDS数据库实例作为整个网站APP的运营环境.

蚂蚁链：NFT不是虚拟币，和比特币等虚拟币有着本质区别:近日，支付宝小程序“蚂蚁链粉丝粒”上限量发售的敦煌飞天等四款“NFT付款码皮肤”受到广泛关注，作为该小程序运营方和该几款皮肤的技术提供方，蚂蚁链表示，所有NFT付款码皮肤仅供会员低价购买，用于支付宝付款码换肤，不允许用于其它商业用途，更不是虚拟币。NFT是解决数字艺术品确权的一种有效和可靠的技术手段，具有唯一性和不可分拆性，不具有等价交换物的特征，和比特币等虚拟币有着本质区别。（财联社）[2021/6/24 0:03:31]

在对客户有了一定的了解后，客户提供了网站的会员账号密码，我们模拟攻击者的手法去黑盒测试目前网站存在的漏洞，登陆网站后，客户存在交易系统功能，使用的是区块链以及虚拟币进行币与币之间的交易金融网站，包括币币交换，转币，提币，冲币，包括了去中心化，以及平台与虚拟币交易所进行安全通信，第三方的API接口，也就是说客户的币上了链，

分析 | 数字虚拟币交易升温 “匿影”挖矿木马再度活跃:4月12日，腾讯御见发文称，近期数字加密货币市场有所回暖，挖矿木马正在重新变得活跃。最新的监测又有新发现：”匿影”挖矿木马已于近期升级，木马团伙更新多个域名、简化攻击流程、启用最新的挖矿账户挖PASC币。“匿影”挖矿木马通过多个网盘和图床隐藏自身，使用NSA武器库的多个攻击工具（如，永恒之蓝）在局域网内主动横向传播。 “匿影”挖矿木马挖取PASC币（pascal coin），与其他数字加密货币不同的是，其他币种会把币存在钱包上，而PASC币引入了账号的概念叫PASA，而账号是通过挖矿产生的，每发掘一个区块则会产生5个账号，币就存放在第一个账号上面，账号序号是从0开始的，PASC币总计发行21144600枚。当前PASC价格只有0.3美元，相比最高时的5.63美元，已经跌去95%，如果不是本次币圈再次升温，说不定已化身归零币。[2019/4/12]

直接到交易所进行公开交易，资金安全很重要，只要出现一点安全隐患导致的损失可能达到几十万甚至上百万，不过还好客户只是用户信息泄露，针对这一情况，我们展开了全面的人工渗透测试。

独家 | 支付宝回应：坚决拒绝为虚拟币网站提供收单服务:金色财经就“支付宝和腾讯下架OTC支付通道”一事采访了支付宝官方工作人员，支付宝官方回应称：坚决拒绝为虚拟币网站提供收单服务。目前所排查到的虚拟币交易平台，支付宝均未提供收单服务。

据了解，目前火币平台使用的方式是允许用户上传支付宝，微信收钱码或者添加银行卡号，属于C2C转账行为而不是商户收单。

支付宝同时表示，未来将持续关注火币网，并对市面上主流货币交易平台进行逐一排查。如果发现已接入商户有涉及虚拟币交易的行为，也会发现一起，清退一起。针对有平台违规使用支付宝logo的行为，支付宝也将采取法律手段，禁止侵权行为。

此外，支付宝还将通过风控技术，优化算法，对个人账户进行监测，对可能存在虚拟货币交易的个人账户进行排查，一经查实，支付宝将做限制收付款甚至封号等处罚处理。[2019/1/25]

罗振宇：韭菜有幻觉，认为自己是区块链参与者、虚拟币受益者:资深媒体人、《罗辑思维》主讲人罗振宇在朋友圈发文调侃说，“英国科学家最新研究发现，植物不但有感觉，甚至还有幻觉，譬如一些韭菜就认为自己是股民，是区块链参与者，是虚拟币受益者。”[2018/4/3]

首先我们对用户测试这里进行漏洞检测，在这里跟大家简单的介绍一下什么是越权漏洞，这种漏洞一般发生在网站前端与用户进行交互的，包括get.post.cookies等方式的数据传输，如果传输过程中未对用户当前的账户所属权限进行安全判断，那么就会导致通过修改数据包来查看其它用户的一些信息，绕过权限的检查，可直接查看任意用户的信息，包括用户的账户，注册手机号，身份认证等信息。

接下来我们来实际操作，登陆网站，查看用户信息，发现连接使用的是这种形式，如下：/user/58,上面的这个网址最后的值是58，与当前我们登陆的账户是相互对应的，也是ID值，USERID=58，也就是说我自己的账户是ID58，如果我修改后面的数值，并访问打开，如果出现了其他用户的账户信息，那么这就是越权漏洞。/user/60，打开，我们发现了问题，直接显示手机号，用户名，以及实名认证的身份证号码，姓名，这是赤裸裸的网站漏洞啊！这安全防范意识也太薄弱了。

用户信息查看这里存在越权漏洞，发生的原因是网站并没有对用户信息查看功能进行权限判断，以及对账户所属权限判断，导致发生可以查看任意用户ID的信息，如下图所示：

漏洞很明显，这是导致用户信息泄露的主要原因，并且我们在测试用户注册的账户也发现了用户信息泄露漏洞，我们抓取了POST到用户注册接口端这里，可以看到数据包里包含了userid，我们渗透测试对其ID值修改为61，然后服务器后端返回来的信息，提示用户已存在，并带着该ID=61的用户信息，包含了姓名，邮箱地址，钱包地址，等一些隐私的信息，如下返回的200状态代码所示：

HTTP/1.1200OK

Date:Tue,08Mon202009:18:26GMT

Content-Type:text/html

Connection:OPEN

Set-Cookie:__cQDUSid=d869po9678ahj2ki98nbplgyh266;

Vary:Accept-Encoding

CF-RAY:d869po9678ahj2ki98nbplgyh266

Content-Length:500

{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".

通过上面的漏洞可以直接批量枚举其他ID值的账户信息，导致网站的所有用户信息都被泄露，漏洞危害极大，如果网站运营者不加以修复漏洞，后期用户发展规模上来，很多人的信息泄露就麻烦了。如果您的网站以及APP也因为用户信息被泄露，数据被篡改等安全问题困扰，要解决此问题建议对网站进行渗透测试服务，从根源去找出网站漏洞所在，防止网站继续被攻击，可以找专业的网站安全公司来处理，国内SINESAFE，深信服，三零卫士，绿盟都是比较不错的安全公司，在渗透测试方面都是很有名的，尤其虚拟币网站，虚拟币交易所，区块链网站的安全，在网站，APP，或者新功能上线之前一定要做渗透测试服务，提前检查存在的漏洞隐患，尽早修复，防止后期发展规模壮大造成不必要的经济损失。

标签：APP虚拟币SINAPP币是什么币虚拟币排行玩虚拟币会被警察找吗虚拟币交易是不是犯法的SIN币SIN价格

抹茶交易所热门资讯