LOADING...
LOADING...
LOADING...
当前位置: 玩币族首页 > 区块链资讯 > 比特安审计:安全配置预防信息泄露

比特安审计:安全配置预防信息泄露

2021-08-10 比特安 来源:区块链网络

近年来,互联网时代给人们带来许多便捷,随着信息技术的发展,区块链技术不断发展,更多的是用于金融、物流、公益等方面试点。区块链目前在性能、权限、安全等方面仍存在诸多问题。如信息泄露在安全审计中屡见不鲜,对于存有大量用户KYC信息的交易所来说影响更加深远,是非常严重的安全问题。

在审计大量交易所后发现,信息泄露问题一般集中于交易所的账户体系、OTC交易系统、用户订单、邀请列表和网站源代码等地方。造成信息泄露的主要原因一般是由于服务器响应包内容没有经过处理就将用户的所有信息返回,配合其他漏洞甚至可以批量的获取用户敏感信息。信息泄露包含的内容有:KYC信息泄露 、登录注册、忘记密码、邀请列表 、OTC交易系统 、用户订单、前端源码信息泄露、?测试数据泄露 、敏感信息泄露、API接口泄露、Github信息泄露 、数据库文件/连接凭据 、敏感信息/文件信息泄露

信息泄露攻击链,也许是某个点的信息泄露看起来微不足道,一旦点与点之间连城线,对于攻击者来说这两个点确定的可不只是一条有始有终的线段,而当这条攻击链被利用起来的时候,便是条有始无终,直至目标的射线。如何预防信息泄露问题是着重考虑的一项,下面介绍安全配置服务。

安全配置服务端是一种专门为某一客户端设立的,具有针对性的程序,通常都只具备认证与传输数据功能。比如游戏服务端,就是专门为游戏客户端提供服务的,服务的内容包括为客户端提供登录服务,保存游戏玩家资料,提供玩家在线游戏等。而游戏客户端的登陆,就需要服务端的授权,服务器登录要是存在问题,就会使得其他人可以进入服务端,进而引发信息泄露,严重者甚至可能破坏服务端安全配置。由此,服务端安全配置的安全问题不可小视。

案例分析:

1、HTTP方法测试

WebDAV是一种一种基于 HTTP 1.1协议的通信协议,它支持GET、POST、HEAD、PUT、DELETE等HTTP方法,这些方法使应用程序可对Web Server直接读写,并支持写文件锁定及解锁,还可以支持文件的版本控制。

WebDAV虽然方便了网站管理员对网站的管理,但是也带来了新的安全风险。如PUT方法自身不带验证机制,利用PUT方法可以向服务器上传文件,所以恶意攻击者可以上传木马等恶意文件;DELETE方法可以删除服务器上特定的资源文件,造成恶意攻击等有害操作。所以如果要使用WebDAV,务必禁止不必要的HTTP 方法,以防被其他攻击者利用。

安全团队在对交易所进行测试时,发现使用不安全的HTTP方法的案例。使用OPTIONS请求,可返回网站支持的HTTP方法,由图可看出网站开启了PUT,DELETE等有害方法。由于测试时及时反映给了厂商,厂商也及时进行了修复,故没有利用该漏洞进行下一步测试。

顾及到该漏洞危害巨大,如果各大交易所有此类开启不安全HTTP方法的网站,零时科技安全团队建议及时修复,以规避不必要的安全风险。

2、管理后台探测

网站管理后台对于测试人员来说都已经相当熟悉,稍微解释一下,管理后台是对网站数据库和文件的快速操作和管理系统,可使得前台内容能够得到及时更新和调整。管理后台的功能繁多而强大,每个恶意攻击者也会想尽办法攻进后台,而正所谓“能力越大责任越大”,一旦管理后台被恶意攻击者占领,基本也就宣布该权限下的“阵地”已经全部失守,所有数据也任人宰割。但由此也可见得后台保护的重要性,那么如何使得后台不被攻破呢?最简单的办法无非就是把后台藏起来了。所以网站后台的隐藏也就成了保护网站的重要步骤。

对某交易所进行安全测试时,发现该交易所的管理后台地址为其子域名的admin的MD5形式。对后台进行弱口令测试后,发现确实存在弱口令,以此直接进入了后台,所有数据一览无余。

安全团队建议:各大交易所如有条件,可不将后台管理入口暴露在外网中或设置可登录的ip白名单;如不得不将后台管理入口置于外网,请尽量设置安全性高的验证码机制,使用安全性高的管理平台和复杂度足够的管理员密码,以规避不必要的风险。

3、后台服务组件配置测试

安全意识不佳的网站管理者在使用后台服务组件时可能会选择默认配置,并不做个性化的改动。而当今的很多漏洞想要被用来发挥破坏性,也需要破除很多此类的限制——在很多个性化的配置下,大多数的漏洞是无法应用的。

安全团队在对某交易所进行安全测试期间,发现访问该交易所的门户网站中不存在的目录时,由于该网站的管理员配置不当,网站会爆出一些敏感信息,如物理路径,真实IP等。这些信息会对攻击者的后续攻击提供便利,大大减少攻击难度,攻击成本。

—-

编译者/作者:比特安

玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。

LOADING...
LOADING...