网赚论坛

 找回密码
 免费注册
查看: 323|回复: 0
打印 上一主题 下一主题

【必看】Oklink安全性测试报告

[复制链接]

19

主题

25

帖子

76

积分

Ⅰ级财主

Rank: 1

积分
76
跳转到指定楼层
楼主
发表于 2017-11-25 16:40:43 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
一、 概述
1.1 背景介绍
Oklink介绍:
OKLink是一个面向全球的虚拟货币钱包和支付平台,提供在线钱包、onchain钱包、商家工具、开放平台等。
上周在巴比特论坛抢楼活动中获得了1枚宝贵的邀请码,后来得知邀请码属于稀缺资源,为了充分利用好该邀请码,熬了几个晚上,写此报告,以便于提高oklink的安全性,让用户更放心。
1.2 测试对象:
http://www.oklink.com (解析IP: 58.96.162.201) ,可能还有更多的解析CDN的IP,不在本次测试范围之类。

二、 测试标准和方法
2.1 测试标准
鉴于一个面向全球的虚拟货币钱包和支付平台,测试过程中除了参照渗透测试行业标准(PTES: Penetration Testing Execution Standard)进行测试之外,还参考支付行业类金融安全标准。
2.2 测试方法:
本测试为黑盒测试,以人工渗透测试为主,辅以相关的安全工具(未使用DDOS工具)。
2.3 行为准则:
本测试在不影响系统运行的前提下进行,整个测试期间未对系统造成任何影响,未影响用户体验。
本测试以发现漏洞为目的,未入侵系统,未对系统留下任何木马、后门,本报告所提及的漏洞为全部发现漏洞。
三、 发现漏洞
3.1密码文明传输
漏洞描述:
通过oklink登录时,密码未加密,可能导致用户密码信息泄露,一下是对登录信息进行拦截,显示密码为明文,基于oklink的定位,功能涵盖支付和钱包,密码明文传输风险非常大。
https://www.oklink.com/user/login/login.do


当然,oklink是使用了https对通道进行加密,能保障一定的安全性,但不幸的是,正好oklink使用的https通道的加密方式也存在一些漏洞(见第二点、第三点)。
安全加固建议:
使用强加密算法对密码进行加密,最好数据库也排查一下是否加密。
3.2 SSL V3 Poodle“贵宾犬”漏洞漏洞描述:
由于oklink访问支持ssl v3导致存在SSL V3 Poodle漏洞,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。


安全加固建议:
禁止SSL V3。 由于SSL V3存在极大的安全性目前chrome和firefox在本月发布的新版本中以默认禁止SSL V3. 其他信息参考:
https://github.com/trevorparker/ ... md#stronger-ciphers

3.3 弱密码套件支持漏洞描述:
Oklink竟然还支持SSL2.0,还支持一些弱加密协议,下图中的问题分2类:
A.密钥长度低于56bit在当前的算力下很容易被破解,存在严重的安全问题。
B. CBC加密模式存在严重的安全漏洞,可以导致密文恢复获取明文,再加上密码是没有加密传输,很容易导致密码泄露。
安全加固建议:
禁止以下弱密码协议的支持。


3.4 服务器信息泄露A. tomcat sample文件泄露内网I


2. 可以直接查看服务器状态信息:





http://block.oklink.com/status/
3.5 找回密码存在邮件炸弹攻击

在找回密码时,邮件数量和时间没有限制,可以通过外挂软件对oklink的邮件服务器进行邮件炸弹攻击,轻则影响正常的邮件收发,重则可以使邮件服务器拒绝服务。




@徐明星 @何一 这样真的好吗?吹的大跌的惨哇~
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

广告合作|Archiver|手机版|小黑屋|财富吧

GMT+8, 2026-7-19 02:33 , Processed in 0.421201 second(s), 35 queries , Gzip On.

Powered by Discuz! X3.1

© 2014-2021 财富吧

快速回复 返回顶部 返回列表