网赚论坛

标题: 【必看】Oklink安全性测试报告 [打印本页]

作者: hhhaaa    时间: 2017-11-25 16:40
标题: 【必看】Oklink安全性测试报告
一、 概述
1.1 背景介绍
Oklink介绍:
OKLink是一个面向全球的虚拟货币钱包和支付平台,提供在线钱包、onchain钱包、商家工具、开放平台等。
上周在巴比特论坛抢楼活动中获得了1枚宝贵的邀请码,后来得知邀请码属于稀缺资源,为了充分利用好该邀请码,熬了几个晚上,写此报告,以便于提高oklink的安全性,让用户更放心。
1.2 测试对象:
http://www.oklink.com (解析IP: 58.96.162.201) ,可能还有更多的解析CDN的IP,不在本次测试范围之类。

二、 测试标准和方法
2.1 测试标准
鉴于一个面向全球的虚拟货币钱包和支付平台,测试过程中除了参照渗透测试行业标准(PTES: Penetration Testing Execution Standard)进行测试之外,还参考支付行业类金融安全标准。
2.2 测试方法:
本测试为黑盒测试,以人工渗透测试为主,辅以相关的安全工具(未使用DDOS工具)。
2.3 行为准则:
本测试在不影响系统运行的前提下进行,整个测试期间未对系统造成任何影响,未影响用户体验。
本测试以发现漏洞为目的,未入侵系统,未对系统留下任何木马、后门,本报告所提及的漏洞为全部发现漏洞。
三、 发现漏洞
3.1密码文明传输
漏洞描述:
通过oklink登录时,密码未加密,可能导致用户密码信息泄露,一下是对登录信息进行拦截,显示密码为明文,基于oklink的定位,功能涵盖支付和钱包,密码明文传输风险非常大。
https://www.oklink.com/user/login/login.do


当然,oklink是使用了https对通道进行加密,能保障一定的安全性,但不幸的是,正好oklink使用的https通道的加密方式也存在一些漏洞(见第二点、第三点)。
安全加固建议:
使用强加密算法对密码进行加密,最好数据库也排查一下是否加密。
3.2 SSL V3 Poodle“贵宾犬”漏洞漏洞描述:
由于oklink访问支持ssl v3导致存在SSL V3 Poodle漏洞,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。


安全加固建议:
禁止SSL V3。 由于SSL V3存在极大的安全性目前chrome和firefox在本月发布的新版本中以默认禁止SSL V3. 其他信息参考:
https://github.com/trevorparker/ ... md#stronger-ciphers

3.3 弱密码套件支持漏洞描述:
Oklink竟然还支持SSL2.0,还支持一些弱加密协议,下图中的问题分2类:
A.密钥长度低于56bit在当前的算力下很容易被破解,存在严重的安全问题。
B. CBC加密模式存在严重的安全漏洞,可以导致密文恢复获取明文,再加上密码是没有加密传输,很容易导致密码泄露。
安全加固建议:
禁止以下弱密码协议的支持。


3.4 服务器信息泄露A. tomcat sample文件泄露内网I


2. 可以直接查看服务器状态信息:





http://block.oklink.com/status/
3.5 找回密码存在邮件炸弹攻击

在找回密码时,邮件数量和时间没有限制,可以通过外挂软件对oklink的邮件服务器进行邮件炸弹攻击,轻则影响正常的邮件收发,重则可以使邮件服务器拒绝服务。




@徐明星 @何一 这样真的好吗?吹的大跌的惨哇~




欢迎光临 网赚论坛 (http://www.caifuba.net/) Powered by Discuz! X3.1