某交易所框架严重逻辑漏洞,可重置任意用户密码!
本文分析的漏洞来自白帽三个月前提交给DVP漏洞平台的漏洞。在收到漏洞后,DVP平台试图联系该系统的开发团队,但数月后未果。并且监测到该套程序的用户数量正在逐渐减少,因此该漏洞的披露提醒开发者避免此类漏洞,并提醒用户谨慎选择兑换。
漏洞再现
1。任意手机号注册
攻击者可以利用该漏洞为薅羊毛批量恶意注册账号,给交易平台带来一定风险。
注册账号时先填写自己的手机号领取验证码
蓑衣网小编2023再填写正确的验证码?并修改手机号为任意手机号注册任意手机号
DVP修复建议:手机号与验证码绑定验证,防止用户用正确的验证码注册任何账号。2。滥用短信接口攻击者可以利用该接口进行短信轰炸,恶意消耗平台上的短信资源,造成平台资产损失。平台在注册新用户获取验证码时,不限制重新获取验证码的时间。攻击者可以不断请求获取验证码包,从而用短信蓑衣网小编2023轰炸指定的手机号码。
受害人短时间内手机收到20条验证码短信,可造成短信轰炸。
DVP修复建议:限制发送次数限制再次获取验证码的时间间隔3 .任意用户密码重置攻击者可以利用该漏洞重置某个网站的用户密码,这可能会给用户造成资产损失。首先在密码找回处输入受害人的手机号码,点击获取密码找回的验证码然后直接访问此链接绕过验证码验证直接重置密码。
/Login/modify_pwd.html?Country_code=86mobile=受害者手机号填写新密码点击完成直接重置任意用户密码成功登录受害者账号 DVP修复建议:提交新密码时,当前用户名或ID、手机号、短信验证码要匹配验证两次,防止用户跨流程操作。
攻击者可以利用这些漏洞为薅羊毛恶意注册帐户,并可以为特定用户重置密码。产生这种漏洞的原因是程序员在用户的账号注册和密码找回中只验证了验证码的有效性,而没有验证手机号与验证码的匹配,导致使用一个验证码注册任意手机号,在密码找回环节没有验证前一个环节的完整性,用户可以跳过前一个环节直接进入密码重置界面,从而绕过验证码验证重置任意用户的密码。资料来源:DVPNET