漏洞预警丨某通用交易所框架组合型严重漏洞

栏目: 编程工具 · 发布时间: 5年前

内容简介:近日BUGX平台收到一个基于POSCMS开发的交易所高危漏洞。此漏洞利用XSS(Cross Site Scripting)+CSRF(Cross-site request forgery)组合型通用漏洞,漏洞可把普通会员提升为交易所管理员权限,登录管理后台进行敏感操作。已导致多家交易所中招。我们第一时间联系了框架开发人员,沟通无果,故发布本文章,希望厂商、用户们提高警惕。

漏洞预警丨某通用交易所框架组合型严重漏洞

前言

近日BUGX平台收到一个基于POSCMS开发的交易所高危漏洞。此漏洞利用XSS(Cross Site Scripting)+CSRF(Cross-site request forgery)组合型通用漏洞,漏洞可把普通会员提升为交易所管理员权限,登录管理后台进行敏感操作。已导致多家交易所中招。

我们第一时间联系了框架开发人员,沟通无果,故发布本文章,希望厂商、用户们提高警惕。

漏洞预警丨某通用交易所框架组合型严重漏洞

一、 漏洞分析

在我们印象中XSS漏洞可以获取其他人账户Cookie或Token,但是要进一步利用漏洞就要多花一些心思了,下面介绍一个白帽子利用XSS+CSRF提升普通会员权限为管理员权限的方式,查找同源网站,可得到多个后台网站管理员账户。

在利用上述漏洞之前,白帽子通过其他方式拿到了某一网站后台管理员账户弱密码,在得到网站账户密码之后去深入测试一下网站的其他安全性。在申请实名认证的某处发现了一处XSS存储型漏洞。

漏洞预警丨某通用交易所框架组合型严重漏洞

在此网站POSCMS也对CSRF进行了防护,网站采用Referer进行防护,但是对于本身就是审核人员在审核会员消息时触发的恶意代码,所以Referer验证会被绕过。下图是对POSCM V3.2.0开源网站创建管理员所抓取的数据包。通过数据包可以看到对会员权限更改的数据包,当data[adminid]=1时是把普通用户权限更改成管理员账户,网站并未对CSRF做过多的防护,可以尝试伪造数据包对网站进行CSRF攻击。

漏洞预警丨某通用交易所框架组合型严重漏洞

转过来我们来看一下POSCM V3.2.0开源添加管理员账户的源码。在diy/dayrui/controllers/admin/Root.php的53行开始。可以看出,在创建管理员账户的时候逻辑是选择此会员属于那种权限,再判断执行操作的角色的权限是否能赋予此权限。然后判断会员是否注册,若未注册则注册会员。

漏洞预警丨某通用交易所框架组合型严重漏洞

在添加管理员对数据包中的会员名称、角色组和姓名进行了赋值。然后进行更新数据库。一个完整添加更新管理员就这样完成了:

漏洞预警丨某通用交易所框架组合型严重漏洞

回顾整个网站,有个可触发的XSS漏洞,同时网站更改会员权限也未对数据来源未进行彻底验证,存在CSRF漏洞。白帽子XSS+CSRF漏洞利用方式是在XSS漏洞处插入使普通会员升级为网站管理员权限的恶意代码,当网站审核人员审核会员信息时会触发XSS漏洞中的恶意代码进而执行恶意代码,对普通会员权限升级到管理员权限,登陆管理后台。

漏洞预警丨某通用交易所框架组合型严重漏洞

二、 漏洞影响

漏洞主要影响使用当前版本的POSCMS框架的网站。

同时受影响的平台,可在后台发现上万条的实名认证信息,影响极大。

漏洞预警丨某通用交易所框架组合型严重漏洞

三、 列举部分同源框架网站

https://ccnex.com/

https://www.crex.top

https://www.bitqq.vip/

http://mhtx.io/

https://bitally.com

https://bk-coin.top/

https://www.magiccubeex.com

https://www.futureex.cc/

https://chain-market.net/

https://www.biex.io

四、 结论

使用google搜索找相似的交易所网站能发现大量的同源网站。这些网站几乎都存在这种漏洞。希望各个交易所厂商,谨慎选择网站开发厂商,如若发现平台漏洞及时修复,提升网站安全。用户们也应该注意使用的交易平台是否有安全风险,避免重要信息泄露。

*本文作者:BUGX,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

群体性孤独

群体性孤独

[美] 雪莉·特克尔 / 周逵、刘菁荆 / 浙江人民出版社 / 2014-3-1 / CNY 66.90

[内容简介] ☆ 你是否也熟悉这样的场景:家人在一起,不是交心,而是各自看电脑和手机;朋友聚会,不是叙旧,而是拼命刷新微博、微信;课堂上,老师在讲,学生在网上聊天;会议中,别人在报告,听众在收发信息。所有这些现象都可以归结为“群体性孤独”——我们似乎在一起,但实际上活在自己的“气泡”中。我们期待他人少,期待技术多。不间断的联系,是否让人类陷入了更深的孤独? ☆ 麻省理工学院社会学教授雪......一起来看看 《群体性孤独》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

在线进制转换器
在线进制转换器

各进制数互转换器

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试