链资讯 链资讯
Ctrl+D收藏链资讯
首页 > BNB > 正文

EFI:DVP白帽子SantanX:黑客是如何通过手机盗走你的加密资产的?_SIGN币

作者:

时间:

基于web页面验证码机制漏洞的检测

在区块链这一块上,每个用户或多或少都在部分网站上注册过一些帐号,当这些帐号涉及到金钱或者利益的时候,帐号的安全就是一个非常值得重视的问题,因此帐号的安全是各个厂商所非常关注的一个点。但是依然会存在一些厂商在身份验证这一块上存在着漏洞,并不是厂商不注重这个问题,只是在代码层的验证过程中的逻辑出现了一些差异,往往这些逻辑漏洞利用起来比较容易。

0x00不可靠的前端校验

在现实环境中,会有许多的网站他们没有严格进行身份校验,他们往往是通过依靠帐号密码发送后回传的状态码来判断用户身份是否正确,这就暴露出了很大的漏洞,这种漏洞利用起来就相当的容易,往往只需要一个安全界的神器BURP就可以完成身份验证的绕过,在登录的时候输入正确的账户以及随意的密码,将报文拦截下来,然后选择burp里面的拦截返回包的功能,捕捉返回的状态码

摩根大通:其他大型公司不太可能效仿特斯拉投资比特币:摩根大通认为特斯拉投资比特币的行为太过大胆,其他大型公司不太可能效仿其将比特币添加到资产负债表中。以Nikolaos Panigirtzoglou为首的摩根大通策略团队表示,每增加1%的比特币资产分配将导致整体投资组合的大幅波动。由于比特币80%的年化波动率,这样的资产分配可能意味着投资组合的波动率上升到8%。(彭博社)[2021/2/10 19:24:52]

将返回包中的状态码修改为正常登录的状态码,当然这里的状态码不一定都是0和1这种,各种状态码都有可能存在,那么我们怎么样判断正确的状态码是什么呢?

这里我们就需要自己手动注册一个用户,然后进行正常登录,并且抓取返回的状态码,当你发现发回的报文中,仅仅只存在状态码,并没有其他set-cookie或者tocken等信息的时候,那么这个登录界面就有极大的可能性存在这种漏洞。这是比较致命的一种漏洞,那么你可能就会有其他的问题了,即使他存在了这种漏洞,但是我们不太可能拥有其他大量的帐号,这个漏洞的危害不就没什么用了码?这就是我接下来要说的问题。

声音 | Erik Finman:比特币已死,莱特币也将效仿:据bitcoinexchangeguide报道,早期的比特币支持者Erik Finman近日表示:“比特币已经死了,它太分散了,存在很多内讧,我认为它不会持久。比特币可能还会有一两个牛市,但长期来看,它已经死了。”Finman认为莱特币很可能会效仿比特币,就像太阳下山时一样,在天黑之前还有八分钟的时间,而莱特币已进入第七分钟。[2018/12/18]

0x01遍历手机号

现在大多数的网站都存在着手机号注册的这一个功能,一般来说同一个手机号只能注册一个帐号,所以手机号也是能作为帐号,这就是能利用的一个点,当手机号能成为帐号的时候,那么之前所存在的疑问就解决了一半,既然知道手机是可以用来登录的帐号,那么如何来获得这些手机号呢?这个问题其实是一个非常好的问题,对于手机号来说,一共有11位数,要想胡乱的猜测一个手机号是否在这个平台上注册过,一次性猜中的概率是微乎其微,但是有的网站的忘记密码这一功能就存在利用的方法,但是我认为他的危害性还是有的。在我们忘记密码的时候输入手机号码,发送手机验证码的时候,部分网站都会先查询这个手机号是否在这个网站上注册过,要是没有则会提示号码不存在,存在则发送短信。那么可以使用这一个逻辑来进行用户手机号遍历。顺带提一下手机号码可以使用手机号码字典生成器来生成,然后用来遍历。

动态 | 去中心化交易所或将效仿IDEX 实行KYC制度:bravenewcoin刊文称,随着美国证交会(SEC)对交易所运营商提出新的执法要求,IDEX执行KYC/AML政策的决定可能会被大多数去中心化交易所效仿。IDEX联合创始人亚历克斯?沃恩(Alex Wearn)在一篇博客文章中透露,所有受到美国制裁的国家都被禁止使用去中心化交易所的隐私交易服务,比如朝鲜和伊朗;纽约州和华盛顿州这类需要“比特许可证书”的司法管辖区也是如此。此外,所有使用该去中心化交易所的个人用户现在都必须完成实名验证(KYC)的要求。[2018/11/9]

如图所示,用户不存在则是另外的信息。我们只需根据length长度来辨别,也可以自己写py脚本来遍历保存注册用户。这一个点可以获取到大量的用户手机号。

0x02可爆破的手机验证码

前面介绍了前端校验绕过的方法以及用户手机号获取的方式,接下来来讲解一下手机验证码的问题。我放一张思维导图来供大家参考

声音 | 菲律宾区块链开发商:呼吁各国效仿菲律宾监管模式:据 Cryptovest消息,菲律宾企业家和区块链开发商Patrick Palacios呼吁全球的加密货币社区模仿其国家制定规则以规范新兴行业的模式,该专家表示菲律宾是世界上发展最快的加密货币社区之一,政府也大力支持该项技术的发展。[2018/8/9]

手机验证码存在的位置可能有三个点:登录、注册、密码找回这三个点。其中注册这个点的危害相对较小,除非找到一个可以批量注册帐号的点。

那么危害较大的就剩下登录和密码找回了,实际这两个点的原理是一样的,只不过利用的环境有所不同。

目前登录时候使用手机验证码登录的网站数量不是占很大的百分比,本文就以找回密码这块来说明。

我们在测试之前首先要进行判断的时候他的手机短信验证码的长度、时效以及页面是否存在有比较难的图片验证码,也就是难以用python的库直接识别的图片验证码。这是我们首先要注意的,其次提交一次表单,抓包来看看,是否存在有前端加密,或者sign等。我以手机验证码长度为4位和6位来分类。

动态 | DVP:亦来云存在Dos高危漏洞 可远程攻击致使节点瞬间瘫痪:据DVP漏洞平台12月07日消息,此前,DVP收到来自社区白帽子的多个关于亦来云远程DoS高危漏洞的反馈,攻击者可借此漏洞远程将亦来云节点瞬间瘫痪,最终导致亦来云主网瘫痪。目前该漏洞已通报给亦来云基金会并完成修复。DVP安全研究人员表示,DoS高危漏洞属于区块链公链中较高危的漏洞,公链节点既是客户端也是服务端,属于整个公链生态的基础设施,公链节点被轻易攻击下线的危害是非常巨大的,比如会使网络算力骤减,从而导致51%攻击等。[2018/12/7]

第一类:4位手机验证码

当我们发现手机验证码长度为4位的时候,时效为5分钟左右,并且没有什么复杂前端加密或者sign和复杂的图片验证码的时候,那么恭喜你,你可能找到了一个可以爆破出验证码的点,这种漏洞虽然是爆破,但是他利用所花费的时间确实非常低的,通常可以在很短的时间内重置或者登录一个手机号。这对厂商来说就是一个高危漏洞,相信他会给你不错的报酬。

上面的这种属于较为简单的漏洞,笔者在前段时间测试的时候发现了带有sign标记的4位验证码,这种的爆破的难度就有所提升了,他的sign是根据当前的时间戳以及手机号验证码等信息进行加密后生成的,要想去破解这个加密算法,是不太现实的。于是笔者就使用了一种骚思路,可能各位安全界的大佬们也用过,那就是python的selenium库来模拟浏览器自动化点击测试,但是这个就需要自己去根据网站的实际情况以及窗口位置来编写脚本。关于selenium的提供一个学习链接。

第二类:6位手机验证码

通常来说6位的验证码,30分钟的时效是一个挺安全的设计,因为在30分钟内想跑完100W条数据的难度还是挺大,并且网站通常会根据发包速率来进行限制,一旦你的发包速率突破设定,你将会被403,也就是你的IP会被封禁一段时间,有这些设置的验证码是安全的,但是如果说时效在1小时甚至更长,并且不限制IP的发包速率了话,那么利用也是可以利用的,只不过利用的成本过高,所以基本不考虑。因此在导图中写到基本不不去考虑。

0x03现实环境下的漏洞案例思路以及分析

接下来给大家带来一个真实的漏洞案例,也是我本人所挖掘到的一个高危漏洞,该漏洞是一个区块链社区所存在的任意登录漏洞

在登陆界面,由于图片验证码长期有效,所以猜测可以爆破。

通过两次提交发现图片验证码在一定时间内是不会发生变化的,尽管已经经过了一次校验。因为查看js发现验证码是由手机验证码经过sha256后从第六位开始取4位收到的验证码,测试时候输入的验证码为1602

证明了这个加密算法,于是利用脚本生成了0000-9999的加密后的字典用来爆破。在爆破过程中发现,验证码的时效1分钟左右,并不足以完成爆破。于是就换了另外一种思路,既然通过爆破是没有办法完成验证码的限制,则想到了程序员在编写代码的时候他会不会犯一种错误,猜想他是否会将过期后的验证码重置为一串特定的字符。既然有了这种猜想,那么就肯定需要来进行一波验证,首先根据他的加密算法发现他的是sha256,也就是每一位验证码数据只会在0-f之间生成,于是生成了一个0000-ffff的字典,来进行了一波爆破,就如猜想的一样,爆破出一个意外的数值,当然并不是在第一次爆破过程中发现的,第一次可能是一个意外,于是我便借用了别人的手机进行了几次尝试后,发现这个数值是固定的,那么这个漏洞就证明成立的了。

这样就挖掘出了一个任意登录帐号的漏洞,刚好这个网站又存在如之前所说的手机号遍历的问题,于是结合这两个点所产生的结果就是可以登录任意用户。

分析:综合了这些问题,我综合了几点对厂商的建议:

1.在对用户进行身份验证的时候不要把信息校验放在前端

2.手机验证码长度在6位以上

3.在进行发送短信校验码的时候不要在返回包中返回验证码的具体信息

4.在没有获取验证码的时候不要设置默认验证码数值

5.在用户注册页面的验证码要对手机进行绑定,不要出现一个验证码可供多个手机使用的情况

注:本篇文章严禁用以非法用途

标签:EFI0X0SIGNSIGHEFI价格0X0币SIGN币Signata

BNB热门资讯
VGO:关于ZT近期将首发上线VGO的公告_VGOD币

尊敬的ZT用户: ZT已成为VGO首批白名单交易所之一,将于近日首发上线。VGO是一个互联网价值传输协议,所谓价值传输,指在特定传输协议框架下可以实现的价值表达、传递和信用构建,以及基于此的所有.

LIBRA:《经济学人》:Facebook的Libra项目预示着一场消费革命_数字钱包

多年来,华尔街的大资本家们担心硅谷的巨头们会撼动金融业。Facebook认为自己找到了办法,它将在2020年推出数字货币Libra。MarkZuckerberg的公司此前未能推广支付服务.

DEF:DeFi周报:DeFi项目锁仓达16.3亿美元,过去一周环比增长8.87%_Defilancer token

据DAppTotal.comDeFi专题页面数据显示:截至目前,已统计的23个DeFi项目共计锁仓资金达16.3亿美元,其中EOSREX锁仓6.58亿美元,占比41.98%.

比特币:逆袭圣器?比特币能帮你打破阶层固化吗_国内区块链公司前十排名

我们寄希望于比特币,那么比特币真的能帮我们打破它吗? 你焦虑吗? 如果你的回答是“是的”,那么恭喜你,你还有机会.

RIN:效仿中本聪 Grin创始人的暂离意味着什么?_VER

北京时间6月24日凌晨,隐私加密货币Grin的全职开发者Yeastplume发帖表示,Grin的匿名创始人IgnotusPeverell因个人原因,选择暂时离开了这个项目,但并没有提供具体原因.

BTC:主流币继续多空交战,等待蓄力后的爆发_MAC币

今日走势继续保持震荡的发展趋势,BTC今日的走势发展主要集中在小时图布林带以内,目前站稳10900上方进行盘整蓄力,近期走势概括起来就是高位震荡整理,布林带上轨终于发展到11250附近.