记一次知名交易所的渗透测试

  • A+
所属分类:安全文章

点击蓝字



关注我们

01





渗透目标

主站:www.xxxx.top

发现问题子域名 redmine.xxx.top

端口:80 443

02





目标成果说明

  1. 普通用户弱口令

  2. 交易所机器人账户密码

  3. 其他项目资产ip泄露

03





漏洞描叙

redmine系统存在未授权,导致内部文档泄露,从中发现大量交易所敏感信息,以及其他项目资产情况

04





漏洞地址

http://redmine.xxx.top/attachments

05





漏洞危害

在通过remine系统未授权的情况下获得内部敏感信息例:官方量化交易机器人账户密码,可以任意买币卖币,操纵市场

06





过程

remine系统未授权

记一次知名交易所的渗透测试

然后查看敏感信息

记一次知名交易所的渗透测试

机器人 1账号:232311xxx 密码:xxxxx

登录地址:http://www.xxxx.ink/#/login

登录成功

记一次知名交易所的渗透测试

查看账户资金

记一次知名交易所的渗透测试

注意:这里可能就会有小伙伴问了,那么这么多比特币、以太坊、EOS能提取出来吗?

这里我讲解下其实按照所有的交易所的内部风控情况一般是提取不出来的(毕竟这么大的量,还是他们内部的机器人肯定是会被发现的),里面的资产也只是机器人进行量化交易的余额,但是可别小看这些资产,虽然不可以提取,但是可以买入、卖出一些资产,可以在短时间内造成一些币价暴跌、暴涨,这些价格的大幅波动可以影响整个交易所甚至整个市场的真实用户,危害极大!!!

记一次知名交易所的渗透测试


本文始发于微信公众号(IDLab):记一次知名交易所的渗透测试

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: