蓑衣网交易所安全之殇,中小问题能够引起大危害
作者于2018年12月24日为您的读者详细拆解了《配置不当引起高危漏洞?看加密货币交易所怎么样正确用Spring Boot Actuaotr框架》。在本文中,我们将根据DVP上线以来收到并确认的3200多个有效漏洞,分析总结exchange安全中常见的五类案例。这些案例由于开发者缺乏安全意识而造成安全隐患,值得业界共同关注。
案例一:弱密码导致的安全问题
在当今这个以用户名和密码作为认证的世界,密码的重要性可想而知。密码相当于进入你家的钥匙。当别人有钥匙进入你家的时候,想想你的安全,你的财产,你的隐私。因为弱密码很容易被别人猜到或者破解,如果你使用弱密码,就像把你家的钥匙放在你家门前的垫子下面,非常危险。
弱密码是指由于人们的习惯或缺乏安全意识而频繁使用,并且非常容易记忆或采用系统默认密码的密码,如常用密码:123456、88888等。以及admin、root等一些默认密码,以及一系列弱密码。完全可以通过黑客弱密码获得后台访问、资金转账、账单修改、实时监控等权限。
以下是真实案例:
https://dvpnet.io/info/detail/ID/2077(案例地址)
DVP推荐修复建议:
案例二:GIT配置不当导致信息泄露。
目前大量开发者使用Git进行版本控制,自动部署站点。如果没有正确配置。git文件夹可以直接部署到在线环境中。这就导致了Git信息泄露漏洞。Git配置不当会导致攻击者在本地还原整个项目。攻击者可以从泄露的项目源代码中提取数据库的账号和密码,或者对泄露的代码进行审计,找出更严重的漏洞并加以利用。Git信息泄露危害很大,攻击者可以直接获取敏感的配置信息(如邮件、数据库)
以下是真实案例:
https://dvpnet.io/info/detail/id/149(案例地址)
攻击者可以访问/。git通过第三方工具获取目标的源代码,比如:
截至记者发稿时,DVP漏洞平台已收到100多个相关漏洞。可见,Git配置不当对平台有一定的安全风险。
DVP建议的修复建议:
删除。git文件夹,并配置Nginx或Apache禁止访问。git文件夹案例三:SVN 
更严重的问题是。svn生成的SVN目录也包含一个以。svn-base(SVN低版本的具体路径是text-base目录,SVN高版本的具体路径是
与本类相关的漏洞
DVP推荐修复建议:
配置Nginx或Apache限制访问svn目录并删除。SVN目录和CVS目录案例四:Redis 
查看redis数据库信息
以下为真实案例:
3359dvpnet.io/info未经授权访问redis对平台的安全性有一定的安全隐患
DVP推荐修复建议:
不要以root权限运行redis,添加密码验证,禁止公网访问Redis 并修改默认端口案例五:网站备份文件导致的漏洞
网站上有备份文件,如数据库备份文件、网站源备份文件等。可使攻击者更容易获得网站权限,导致
与本类相关的漏洞
DVP推荐修复建议:
不要将备份文件放在web目录中。下载后及时删除备份文件。备份文件名无法猜测。上述作者用五个样本分别列出了交换中常见的五类危害蓑衣网小编2022:弱密码、GIT配置不当、SVN配置不当、Redis未授权访问、网站备份文件。交易所的安全性是一个整体,攻击者往往会寻找薄弱点进行攻击。根据以上五种情况,交易所可以根据以上案例进行自查,从细节入手,避免小问题变成更大的危害,保障交易所的安全。否则,一旦中小问题造成巨大危害,利益损失将是重大的。