您的位置: > 区块链 > 正文

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

  发布时间:2024-04-16 10:26:02   作者:手工客  
相信对于币圈投资人来说没有什么比交易所和钱包安全更重要!此篇文章分析的漏洞来自白帽子三个月前提交至DVP漏洞平台的漏洞。在收到漏洞后,DVP平台便尝试着联系该系统的开发团队,经几个月尝试联系未果

相信对于币圈投资人来说没有什么比交易所和钱包安全更重要!此篇文章分析的漏洞来自白帽子三个月前提交至DVP漏洞平台的漏洞。在收到漏洞后,DVP平台便尝试着联系该系统的开发团队,经几个月尝试联系未果。并监测到此套程序使用者逐渐减少的情况下,故公开此漏洞提醒各位开发者规避此类漏洞,同时提醒用户谨慎选择交易所。

漏洞复现

1. 任意手机号注册

攻击者可利用此漏洞进行恶意批量注册账号进行薅羊毛,对交易平台存在一定风险。

注册账号时,先填入自己的手机号码,用来接收验证码

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

然后填入正确的验证码  并修改手机号码为任意手机号 即可注册任意手机号

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

DVP修复建议:

手机号和验证码绑定验证,防止用户使用一个正确的验证码注册任意账号。

2. 短信接口滥用

攻击者可利用此接口进行短信轰炸,恶意消耗平台短信资源,造成平台资产损失。

平台在注册新用户获取注册验证码的时候没有限制重新获取验证码的时间,攻击者可不断请求获取验证码数据包,从而对指定手机号进行短信轰炸

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

测试发送二十个获取短信验证码数据包

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

受害者手机上便在短时间内收到二十条注册验证码短信,可造成短信轰炸。

5

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

DVP修复建议:

限制发送次数

限制再次获取验证码的时间间隔

3.任意用户密码重置

攻击者可利用此漏洞重置网站用户密码,可对用户造成资产损失。

首先在找回密码处输入受害者的手机号,点击获取找回密码的验证码

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

然后直接访问这个链接 绕过验证码验证,直接进行重置密码。

/Login/modify_pwd.html?country_code=86&mobile=受害者手机号

填入新的密码后%20点击完成即可直接重置任意用户密码

成功登陆受害者的账号

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

DVP修复建议:

每一个步骤都要对前一个步骤进行验证;

提交新密码时应对当前用户名或ID、手机号、短信验证码进行二次匹配验证,防止用户跨流程操作。

攻击者可利用此类漏洞恶意注册账号进行薅羊毛,而且可以对特定用户进行密码重置。此类漏洞的产生原因是因为程序员在用户注册账号和找回密码等环节,只验证了验证码的有效性,并没有对手机号和验证码进行匹配验证,导致了可使用一个验证码对任意手机号进行注册,且在找回密码环节没有验证上一个环节的完整性,用户可跳过上一个环节直接进入重置密码的界面,从而绕过验证码验证重置任意用户密码。

来源:DVPNET

相关文章

  • coincola可盈可乐交易平台怎么样?coincola使用教程

    coincola可盈可乐交易平台怎么样?coincola使用教程

    可盈可乐交易平台隶属于香港CoinColaLimited,由专业的国际化团队研发与运营,专注于为全球用户提供便捷,可依赖的区块链服务。CoinCola汇聚全球用户,致力于打造世界级的区
    01-10
  • 在可盈可乐交易平台用PayPal购买比特币流程!

    在可盈可乐交易平台用PayPal购买比特币流程!

    在可盈可乐交易平台用PayPal购买比特币流程!PayPal是一种全球性的支付系统,备受全球亿万用户追捧,尤其在美国、南非等地区使用PayPal进行线上支付最为广泛。随着在数字货币交易所购买比特币变得愈加便捷
    09-22
  • 2023年最新元宇宙龙头币排名一览

    2023年最新元宇宙龙头币排名一览

    说起元宇宙,很多人说元宇宙其实就是下一代的互联网,不过也有人有不同的观点,认为元宙会是有史以来最大的资本骗局。其实元宇宙的起源是1992年的一本科幻小说,在史蒂芬森的小说《雪崩》中提到了
    05-04
  • 投资比特币违法吗?是骗局吗?

    投资比特币违法吗?是骗局吗?

    众所周知,比特币曾经走过一段黑暗的时光,它被广泛的用于暗网上的非法交易,但是由于比特币的匿名性并不高,所有交易都被记录在区块链上,所以现在比特币多数被用于正常和光明的应用中。现在根据国家最权威的说法,比特币已经被定义为特定的
    05-07
  • 比特币是什么,合法吗,是不是骗局?

    比特币是什么,合法吗,是不是骗局?

    大家好,其实比特币作为第一个成功实施区块链技术的加密货币,自2009年诞生以来一直备受争议和关注。它是一种数字货币,以其去中心化、匿名性和安全性等特点闻名于世。然而,人们对
    09-10
  • 怎么查询收到的比特币?收到的比特币在哪看

    怎么查询收到的比特币?收到的比特币在哪看

    现如今,比特币越来越火爆,这也就使得比特币骗局的数量在迅速增长,其中一些骗局就是要求投资者将比特币发送到他们提供的地址,例如比特币赠品骗局承诺使您发送的比特币数量翻倍。手工客小编在跟大家说一个真实发生的时间
    09-04
  • 传销币骗局名单一览!2019年最新传销币名单汇总

    传销币骗局名单一览!2019年最新传销币名单汇总

    随着区块链热潮,危害最严重的乱象出现在数字货币上,这些项目将区块链概念和金融知识、货币知识混淆在一起,混水摸鱼,普通百姓根本难以分辨,欺骗性极强。各种传销骗局一路横行
    05-30
  • 比特币挖掘机非法吗?是骗局吗?

    比特币挖掘机非法吗?是骗局吗?

    说起比特币挖掘机,其实它就是指那些专门用于赚取比特币的计算机,像这一类的计算机,一般都会配置专门的专业的挖矿芯片,而且它们大多会采用安装大量显卡的方式工作,因为比特币挖矿是一个非常消耗显卡的工作,其耗电量有也非常的大。
    03-26
  • FIL币/Filecoin到底是不是骗局?

    FIL币/Filecoin到底是不是骗局?

    近期,Filecoin挖矿可以说是热门词汇,这也使得FIL币慢慢的出现在人们的视线中,根据行情数据显示,FIL币目前流通市值为100 02亿美元,23小时成交额为24 97亿美元,目前FIL币是全球数字货币排行榜中前二十的存在,自发行以来,FIL币历史最高价格237 61
    09-08
  • 空投币有价值吗?会是骗局吗?

    空投币有价值吗?会是骗局吗?

    在币圈,只要是经常交易数字货币的投资者,就会发现自己的账户钱包中偶尔会出现一些没有听过的新币,这些新币就是本文要说的空投币,手工客小编要给大家解释一下本文提到的空投币是对一类数字货币的统称,而不是单指某个数字货币
    09-21
  • 数字货币是怎样的骗局

    数字货币是怎样的骗局

    数字货币是怎样的骗局?数字货币市场存在一些不可忽视的骗局和风险,我们必须保持警惕和理智的投资态度。然而,我们也需要意识到数字货币作为一种新兴的金融工具,同时也蕴含着巨大
    01-02
微信 投稿 脚本任务 在线工具

关注微信公众号

扫一扫