Oklink安全性测试报告

　　一、 概述

　　1.1 背景介绍

　　Oklink介绍：

　　OKLink是一个面向全球的虚拟货币钱包和支付平台，提供在线钱包、onchain钱包、商家工具、开放平台等。

　　上周在巴比特论坛抢楼活动中获得了1枚宝贵的邀请码，后来得知邀请码属于稀缺资源，为了充分利用好该邀请码，熬了几个晚上，写此报告，以便于提高oklink的安全性，让用户更放心。

　　1.2 测试对象：

　　www.oklink.com (解析IP: 58.96.162.201) ，可能还有更多的解析CDN的IP，不在本次测试范围之类。

　　二、 测试标准和方法

　　2.1 测试标准

　　鉴于一个面向全球的虚拟货币钱包和支付平台，测试过程中除了参照渗透测试行业标准(PTES: Penetration Testing Execution Standard)进行测试之外，还参考支付行业类金融安全标准。

　　2.2 测试方法：

　　本测试为黑盒测试，以人工渗透测试为主，辅以相关的安全工具(未使用DDOS工具)。

　　2.3 行为准则：

　　本测试在不影响系统运行的前提下进行，整个测试期间未对系统造成任何影响，未影响用户体验。

　　本测试以发现漏洞为目的，未入侵系统，未对系统留下任何木马、后门，本报告所提及的漏洞为全部发现漏洞。

　　三、 发现漏洞

　　3.1密码明文传输

　　漏洞描述：

　　通过oklink登录时，密码未加密，可能导致用户密码信息泄露，一下是对登录信息进行拦截，显示密码为明文，基于oklink的定位，功能涵盖支付和钱包，密码明文传输风险非常大。

　　https://www.oklink.com/user/login/login.do

　　当然，oklink是使用了https对通道进行加密，能保障一定的安全性，但不幸的是，正好oklink使用的https通道的加密方式也存在一些漏洞(见第二点、第三点)。

　　安全加固建议：

　　使用强加密算法对密码进行加密，最好数据库也排查一下是否加密。

　　3.2 SSL V3 Poodle“贵宾犬”漏洞

　　漏洞描述：

　　由于oklink访问支持ssl v3导致存在SSL V3 Poodle漏洞，该漏洞贯穿于所有的SSLv3版本中，利用该漏洞，黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0)，便可以成功获取到传输数据(例如cookies)。

　　安全加固建议：

　　禁止SSL V3。 由于SSL V3存在极大的安全性目前chrome和firefox在本月发布的新版本中以默认禁止SSL V3. 其他信息参考：

　　https://github.com/trevorparker/website/blob/9121ba44e3110535627021e93a81d6cf51a36b23/_source/_posts/2014-05-14-hardening-ssl-in-nginx.md#stronger-ciphers

　　3.3 弱密码套件支持

　　漏洞描述：

　　Oklink竟然还支持SSL2.0，还支持一些弱加密协议，下图中的问题分2类：

　　A.密钥长度低于56bit在当前的算力下很容易被破解，存在严重的安全问题。

　　B. CBC加密模式存在严重的安全漏洞，可以导致密文恢复获取明文，再加上密码是没有加密传输，很容易导致密码泄露。

　　安全加固建议：

　　禁止以下弱密码协议的支持。

　　3.4 服务器信息泄露

　　A. tomcat sample文件泄露内网IP

　　2. 可以直接查看服务器状态信息：

　　http://block.oklink.com/status/

　　3.5 找回密码存在邮件炸弹攻击

　　在找回密码时，邮件数量和时间没有限制，可以通过外挂软件对oklink的邮件服务器进行邮件炸弹攻击，轻则影响正常的邮件收发，重则可以使邮件服务器拒绝服务。

　　四、 总结

　　由于oklink还处于邀请测试期间，从整体安全评估结果来看还不错。但是对于一家追求卓越的企业，以上安全问题也应该引起足够的重视。

　　本报告只对漏洞实际情况进行客观、公证的阐述，不代表其他任何立场。本人也将继续关注比特币生态圈其他创新产品和项目的安全建设情况。

—-

文章来源：https://www.bikeji.com/t/476#reply10

编译者/作者：顽石

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。