相信对于币圈投资者来说,没有什么比交易所和钱包的安全更重要的了!本文分析的漏洞来自白帽三个月前提交给DVP漏洞平台的漏洞。在收到漏洞后,DVP平台试图联系该系统的开发团队,但数月后未果。。并且监测到该套程序的用户数量正在逐渐减少,因此该漏洞的披露提醒开发者避免此类漏洞,并提醒用户谨慎选择兑换。
漏洞再现
1。任意手机号码注册
攻击者可以利用该漏洞为薅羊毛批量恶意注册账号,给交易平台带来一定风险。
注册账号时,先填写自己的手机号,领取验证码
。
然后填写正确的验证码,将手机号修改为任意手机号即可注册任意手机号
DVP修复建议:
手机号和验证码绑定验证,防止用户用正确的验证码注册任何账号。
2。滥用短信接口
攻击者可以利用该接口进行短信轰炸,恶意消耗平台上的短信资源。,导致平台资产流失。
注册新用户获取注册验证码时,平台不限制再次获取验证码的时间。攻击者可以不断请求获取验证码数据包,从而用短信
轰炸指定的手机号码。
测试发送二十个数据包获取短信验证码
受害者短时间内收到二十条注册验证码的短信,可能造成短信轰炸。
DVP修复建议:
限制发送次数
限制再次获取验证码的时间间隔
3.任意用户密码重置
攻击者可以利用该漏洞重置网站用户密码,从而导致用户资产受损。
首先输入受害者';的手机号码,点击获取密码找回验证码
。
然后直接访问这个链接绕过验证码直接重置密码。
/login/modify_pwd.html?country_code=86mobile=victim';的手机号码
填写新密码,点击完成,直接重置任何用户密码