币圈子-中国领先的数字货币/区块链用户平台
big 注册 登录
当前位置:首页 > 币圈百科 > 交易平台知识>正文内容
Bigo Pro OKEX 数字货币交易平台

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

全文导读

相信对于币圈投资人来说没有什么比交易所和钱包安全更重要!此篇文章分析的漏洞来自白帽子三个月前提交至DVP漏洞平台的漏洞。在收到漏洞后,DVP平台便尝试着联系该系统的开发团队,经几个月尝试联系未果

相信对于币圈投资人来说没有什么比交易所和钱包安全更重要!此篇文章分析的漏洞来自白帽子三个月前提交至DVP漏洞平台的漏洞。在收到漏洞后,DVP平台便尝试着联系该系统的开发团队,经几个月尝试联系未果。并监测到此套程序使用者逐渐减少的情况下,故公开此漏洞提醒各位开发者规避此类漏洞,同时提醒用户谨慎选择交易所。

漏洞复现

1. 任意手机号注册

攻击者可利用此漏洞进行恶意批量注册账号进行薅羊毛,对交易平台存在一定风险。

注册账号时,先填入自己的手机号码,用来接收验证码

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

然后填入正确的验证码  并修改手机号码为任意手机号 即可注册任意手机号

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

DVP修复建议:

手机号和验证码绑定验证,防止用户使用一个正确的验证码注册任意账号。

2. 短信接口滥用

攻击者可利用此接口进行短信轰炸,恶意消耗平台短信资源,造成平台资产损失。

平台在注册新用户获取注册验证码的时候没有限制重新获取验证码的时间,攻击者可不断请求获取验证码数据包,从而对指定手机号进行短信轰炸

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

测试发送二十个获取短信验证码数据包

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

受害者手机上便在短时间内收到二十条注册验证码短信,可造成短信轰炸。

5

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

DVP修复建议:

限制发送次数

限制再次获取验证码的时间间隔

3.任意用户密码重置

攻击者可利用此漏洞重置网站用户密码,可对用户造成资产损失。

首先在找回密码处输入受害者的手机号,点击获取找回密码的验证码

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

然后直接访问这个链接 绕过验证码验证,直接进行重置密码。

/Login/modify_pwd.html?country_code=86&mobile=受害者手机号

填入新的密码后%20点击完成即可直接重置任意用户密码

成功登陆受害者的账号

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

DVP修复建议:

每一个步骤都要对前一个步骤进行验证;

提交新密码时应对当前用户名或ID、手机号、短信验证码进行二次匹配验证,防止用户跨流程操作。

攻击者可利用此类漏洞恶意注册账号进行薅羊毛,而且可以对特定用户进行密码重置。此类漏洞的产生原因是因为程序员在用户注册账号和找回密码等环节,只验证了验证码的有效性,并没有对手机号和验证码进行匹配验证,导致了可使用一个验证码对任意手机号进行注册,且在找回密码环节没有验证上一个环节的完整性,用户可跳过上一个环节直接进入重置密码的界面,从而绕过验证码验证重置任意用户密码。

来源:DVPNET

分享一下
警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!
我们关注币圈最新动态,欢迎加入官方QQ群:805810010,请猛戳这里→ 点击入群
返回首页»

本文标题:警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

本文链接:http://www.120btc.com/baike/pingtai/9139.html

免责声明:文章不代表币圈子立场,不构成任何投资建议,谨防风险。

版权声明:本文来源于币圈子网站,转载请注明出处!侵权必究!

Bakkt 量子链 比特股 瑞波币 一个比特币要挖多久 比特币怎么获得 以太坊价格

前一篇:Bibox交易所怎么注册?Bibox交易平台账号注册及使用教程

下一篇:随着币安期货公司添加iOS期货,市值创27亿美元历史新高!

0 条评论

发表评论共计xxx条评论
↖评论举报×
你认为的言论有什么问题?
币圈广告

热门交易平台

所有平台
  • BiBull

    4星
    马来西亚
  • 闪电PRO

    3星
    加拿大
  • 币霸

    3星
    英属维尔京群岛
  • Boboo

    3星
    新加坡

热门数字货币

所有币种