位置:芙蓉财经网 >> Bitget

警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!

2023年07月19日 19:18

欧易okx交易所下载

欧易交易所又称欧易OKX,是世界领先的数字资产交易所,主要面向全球用户提供比特币、莱特币、以太币等数字资产的现货和衍生品交易服务,通过使用区块链技术为全球交易者提供高级金融服务。

APP下载   官网注册

相信对于币圈投资人来说没有什么比交易所和钱包安全更重要!此篇文章分析的漏洞来自白帽子三个月前提交至DVP漏洞平台的漏洞。在收到漏洞后,DVP平台便尝试着联系该系统的开发团队,经几个月尝试联系未果。并监测到此套程序使用者逐渐减少的情况下,故公开此漏洞提醒各位开发者规避此类漏洞,同时提醒用户谨慎选择交易所。

漏洞复现

1. 任意手机号注册

攻击者可利用此漏洞进行恶意批量注册账号进行薅羊毛,对交易平台存在一定风险。

注册账号时,先填入自己的手机号码,用来接收验证码

然后填入正确的验证码 并修改手机号码为任意手机号 即可注册任意手机号

DVP修复建议:

手机号和验证码绑定验证,防止用户使用一个正确的验证码注册任意账号。

2. 短信接口滥用

攻击者可利用此接口进行短信轰炸,恶意消耗平台短信资源,造成平台资产损失。

平台在注册新用户获取注册验证码的时候没有限制重新获取验证码的时间,攻击者可不断请求获取验证码数据包,从而对指定手机号进行短信轰炸

测试发送二十个获取短信验证码数据包

受害者手机上便在短时间内收到二十条注册验证码短信,可造成短信轰炸。

DVP修复建议:

限制发送次数

限制再次获取验证码的时间间隔

3.任意用户密码重置

攻击者可利用此漏洞重置网站用户密码,可对用户造成资产损失。

首先在找回密码处输入受害者的手机号,点击获取找回密码的验证码

然后直接访问这个链接 绕过验证码验证,直接进行重置密码。

/Login/modify_pwd.html?country_code=86&mobile=受害者手机号

填入新的密码后%20点击完成即可直接重置任意用户密码

成功登陆受害者的账号

DVP修复建议:

每一个步骤都要对前一个步骤进行验证;

提交新密码时应对当前用户名或ID、手机号、短信验证码进行二次匹配验证,防止用户跨流程操作。

攻击者可利用此类漏洞恶意注册账号进行薅羊毛,而且可以对特定用户进行密码重置。此类漏洞的产生原因是因为程序员在用户注册账号和找回密码等环节,只验证了验证码的有效性,并没有对手机号和验证码进行匹配验证,导致了可使用一个验证码对任意手机号进行注册,且在找回密码环节没有验证上一个环节的完整性,用户可跳过上一个环节直接进入重置密码的界面,从而绕过验证码验证重置任意用户密码。

来源:DVPNET

推荐阅读

华夏银行 重置密码(华夏银行重置密码总是显示需要8-12位数字加字母)
磊科路由器密码重置(磊科路由器重设密码要怎么做)
北京建设银行办公时间(北京建设银行上班时间表2021)
警惕交易所骗局!某交易所框架严重逻辑漏洞可重置任意用户密码!
成都社保卡重置密码是多少钱(成都社保卡重置密码是多少钱啊)
怎么查看电脑密码是多少(怎么查看电脑密码是多少)
09年挖比特币,忘记账号了。
09年挖比特币,忘记账号了。
比特币账户丢失怎么办(我的比特币账户丢了)
招商银行卡重置密码是什么情况(招商银行卡重置密码是什么情况呀)
文章来源: summer
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至405936398@qq.com 举报,一经查实,本站将立刻删除。
相关资讯
比特币的网络虚拟商品属性 比特币的网络虚拟商品属性是什么
比特币的网络虚拟商品属性 比特币的网络虚拟商品属性是什么 1970-01-01

此类漏洞的产生原因是因为程序员在用户注册账号和找回密码等环节,只验证了验证码的有效性,并没有对手机号和验证码进行匹配验证...

比特币技术专家,比特币技术专家是谁
比特币技术专家,比特币技术专家是谁 1970-01-01

此类漏洞的产生原因是因为程序员在用户注册账号和找回密码等环节,只验证了验证码的有效性,并没有对手机号和验证码进行匹配验证...

股指期货 多头 股指期货多头
股指期货 多头 股指期货多头 1970-01-01

此类漏洞的产生原因是因为程序员在用户注册账号和找回密码等环节,只验证了验证码的有效性,并没有对手机号和验证码进行匹配验证...

比特币美元架格?比特币美元架格图
比特币美元架格?比特币美元架格图 1970-01-01

此类漏洞的产生原因是因为程序员在用户注册账号和找回密码等环节,只验证了验证码的有效性,并没有对手机号和验证码进行匹配验证...

国内期货大公司排名2015年(中国期货市场中心是做什么的)
国内期货大公司排名2015年(中国期货市场中心是做什么的) 1970-01-01

此类漏洞的产生原因是因为程序员在用户注册账号和找回密码等环节,只验证了验证码的有效性,并没有对手机号和验证码进行匹配验证...

比特币微信段子,比特币 段子
比特币微信段子,比特币 段子 1970-01-01

此类漏洞的产生原因是因为程序员在用户注册账号和找回密码等环节,只验证了验证码的有效性,并没有对手机号和验证码进行匹配验证...