虚拟币生意所平台的网站平安加固若何防护?从渗透测试服务最先

2021-10-20 09:29:00 分类:技术文章 热度:207 评论: 0

电商破局,多用户商城系统选择

2019年,电商行业风口的风仍未停,互联网巨头与资本同时涌入。仅是4月,首家1000平米的盒马菜场在上海盛大开业,苏宁菜场、美团买菜功能接连上线,这个电商赛道的细分领域,可谓是热闹

在对客户网站以及APP举行渗透测试服务时刻,越权破绽对营业系统的正常运转影响很大,许多客户网站信息被泄露,数据库被改动一大部门缘故原由跟越权破绽有关,前端时刻某金融客户由于数据被泄露,通过老客户先容,找到我们SINE平安做渗透测试服务,找出数据被泄露的缘故原由以及现在网站APP存在的未知破绽,凭证我们十多年的渗透履向来分享这次网站平安测试的整个历程。

首先要网络客户的资料,我们SINE平安手艺与甲方的网站维护职员举行了相同,确定下网站接纳的是php语言(Thinkphp二次开发系统),数据库类型是Mysql,服务器接纳的是linuxcentos,买的是香港阿里云ECS,数据库接纳的是内网传输并使用了RDS数据库实例作为整个网站APP的运营环境,在对客户有了一定的领会后,客户提供了网站的会员账号密码,我们模拟攻击者的手法去黑盒测试现在网站存在的破绽,上岸网站后,客户存在生意系统功效,使用的是区块链以及虚拟币举行币与币之间的生意金融网站,包罗币币交流,转币,提币,冲币,包罗了去中央化,以及平台与虚拟币生意所举行平安通讯,第三方的API接口,也就是说客户的币上了链,直接到生意所举行果然生意,资金平安很主要,只要泛起一点平安隐患导致的损失可能到达几十万甚至上百万,不外还好客户只是用户信息泄露,针对这一情形,我们睁开了周全的人工渗透测试。

首先我们对用户测试这里举行破绽检测,在这里跟人人简朴的先容一下什么是越权破绽,这种破绽一样平常发生在网站前端与用户举行交互的,包罗get.post.cookies等方式的数据传输,若是传输历程中未对用户当前的账户所属权限举行平安判断,那么就会导致通过修改数据包来查看其它用户的一些信息,绕过权限的检查,可直接查看随便用户的信息,包罗用户的账户,注册手机号,身份认证等信息。接下来我们来现实操作,上岸网站,查看用户信息,发现链接使用的是这种形式,如下:/user/58,上面的这个网址最后的值是58,与当前我们上岸的账户是相互对应的,也是ID值,USERID=58,也就是说我自己的账户是ID58,若是我修改后面的数值,并接见打开,若是泛起了其他用户的账户信息,那么这就是越权破绽。/user/60,打开,我们发现了问题,直接显示手机号,用户名,以及实名认证的身份证号码,姓名,这是赤裸裸的网站破绽啊!这平安提防意识也太微弱了。

用户信息查看这里存在越权破绽,发生的缘故原由是网站并没有对用户信息查看功效举行权限判断,以及对账户所属权限判断,导致发生可以查看随便用户ID的信息,如下图所示:

破绽很显著,这是导致用户信息泄露的主要缘故原由,而且我们在测试用户注册的账户也发现了用户信息泄露破绽,我们抓取了POST到用户注册接口端这里,可以看到数据包里包罗了userid,我们渗透测试对其ID值修改为61,然后服务器后端返回来的信息,提醒用户已存在,并带着该ID=61的用户信息,包罗了姓名,邮箱地址,钱包地址,等一些隐私的信息,如下返回的200状态代码所示:

HTTP/1.1 200 OK

Date: Tue, 08 Mon 2020 09:18:26 GMT

企业营销型网站建设有什么好处?

网站建设时目前企业拓展渠道、曝光品牌的重要方式。不过在进行网站建设的时候,我们需要知道网站类型是比较多的,并且不同类型的网站对于企业的作用也是存在一定差异的。而在进

Content-Type: text/html

Connection: OPEN

Set-Cookie: __cQDUSid=d869po9678ahj2ki98nbplgyh266;

Vary: Accept-Encoding

CF-RAY: d869po9678ahj2ki98nbplgyh266

Content-Length: 500

{"error":"exist","user":[{"id":"61","username":"zhangchunyan","email":"admin@whocare***","mobile":13005858****,"btc":"69jn986bb2356abp098nny889".

通过上面的破绽可以直接批量枚举其他ID值的账户信息,导致网站的所有用户信息都被泄露,破绽危害极大,若是网站运营者不加以修复破绽,后期用户生长规模上来,许多人的信息泄露就贫苦了。若是您的网站以及APP也由于用户信息被泄露,数据被改动等平安问题困扰,要解决此问题建议对网站举行渗透测试服务,从泉源去找出网站破绽所在,防止网站继续被攻击,可以找专业的网站平安公司来处置,海内SINESAFE,笃信服,三零卫士,绿盟都是对照不错的平安公司,在渗透测试方面都是很著名的,尤其虚拟币网站,虚拟币生意所,区块链网站的平安,在网站,APP,或者新功效上线之前一定要做渗透测试服务,提前检查存在的破绽隐患,尽早修复,防止后期生长规模壮大造成不需要的经济损失。

企业网站建设改版需要注意的事项

网站是企业发展过程中的重要基础,但是在网站建设成功之后,也会随着企业发展和时间的推移对网站进行改版,不过在网站进行改版的过程中,我们该如何保证网站不会受到影响,成都企业网

转载请说明出处内容投诉
八爷源码网 » 虚拟币生意所平台的网站平安加固若何防护?从渗透测试服务最先
网站源码

网站源码

分享到:

相关推荐