土耳其交易所Sistemkoin存在工单遍历漏洞

Sistemkoin是土耳其的一家交易所,在撰写本文时,该交易所在CoinmarketCup上24小时的交易量达到了6800万美元。但是,根据安全研究人员的报道,该交易所存在严重的安全问题。

工单遍历漏洞

如果其他人可以看到您的工单,有些人可能会觉得没什么大不了的。好吧,想象一下如果有人冒充官方人员要求你禁用双因素身份验证。或者,透露私人信息以“验证您的帐户”等的,有许多可以想象的攻击媒介,这些泄露的工单可以被用来获得你的信任。

另外,通过该漏洞我们发现大多数工单都与提币问题有关。

漏洞利用过程只需要Sistemkoin用户将工单号替换为另一个工单号,如下:

先抓包获取访问工单信息的请求包,然后将ticket_id参数更改为你像要看的工单号就行了。

通过这种方式,攻击者能够看到所有工单信息。


*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(CCN)及本页链接。原文链接 https://www.ccn.com/turkish-crypto-exchange-sistemkoins-disturbing-security-flaw-reveals-major-withdrawal-complaints/

白帽汇安全研究院转载2019-01-21 14:42:29 CCN 495