交易所安全測試:信息收集
一、概述
對於所有安全相關的測試來說,信息收集都是非常重要且必要的第一步, 有時一次非常全面完善的信息收集甚至會佔到一次滲透測試總工程量的的70%到80%,能爲後續的工作節省大量精力,提供便利,數字貨幣交易所的安全測試也是一樣,第一步的信息收集至關重要。 本文將展示零時科技安全團隊的多年攻防經驗,以及大量交易所客戶真實案例,雖然見微知著,但是通過案例就可以瞭解到,在安全測試過程中數字貨幣交易所有什麼樣的信息可供黑客收集利用以及導致怎樣的危害。 其中幾點將會被單獨加以說明,以供參考。
二、測試列表
信息收集列表
• 域名 Whois 及備案信息採集
• 服務器真實 IP 發現
• 服務器指紋識別
• 目標子域探測
• 郵件服務探測
• 證書信息採集
• Web 服務組件指紋採集
• Web 網站目錄探測
• API 接口信息泄露
• 端口服務組件指紋採集
• 旁服信息採集
• C 段服務採集
• GitHub/SVN 源碼泄露發現
• DNS 記錄分析搜索引擎公開信息採集( google , shodan , zoomeye )
• 企業信息採集(員工信息,組織框架,企業法人,企業綜合信息)
• 敏感文件發現
三、案例分析
關於信息收集,衆說紛紜,甚至也有言論稱信息收集是測試中用處最不明顯的一環,誠然並不是所有信息都是有效且可被利用的,但其中一些確實可以在山窮水復的時候柳暗花明,以致再次找到新的突破口。
以下幾個案例就將揭示,在測試中,信息收集這一階段爲整個測試過程貢獻了怎樣的力量。
-
服務器真實 IP 發現
開啓CDN後的網站,會根據用戶所在地的不同訪問CDN的節點服務器,並不直接訪問源服務器,由於CDN節點的阻擋防護,無論服務器是滲透還是DD0S攻擊,攻擊的目標都將是CDN節點,可以更好的保護員服務器的安全。
在黑客攻擊過程中找到目標真實IP至關重要,攻擊者可通過多種方法繞過防護找到服務器真實IP地址。 最常見的通過查詢歷史DNS記錄獲取服務器真實IP。通過真實IP直接繞過防護,進行端口掃描,服務指紋識別,繞過常規web安全防護,擴大攻擊面。
圖下爲通過DNS記錄獲取某交易所真實IP:
-
目標子域探測
子域名探測是查找一個或多個域的子域名的過程。 這是信息蒐集階段的重要組成部分。子域名探測可以幫我們發現滲透測試中更多的服務,這將增加發現漏洞的可能性,查找一些用戶上較少,被人遺忘的子域名,其上運行的應用程序可能會使我們發現關鍵漏洞。
子域名探測的方法有很多,例如:利用DNS域傳送漏洞,查看HTTPS證書和枚舉挖掘等等。在針對交易所後臺發現上,經過大量測試後發現,一部分交易所後臺會隱藏在其二級域名下來保證安全。
圖下爲某交易所後臺登錄界面,其子域名爲 admin的MD5:
將後臺與主站分離某種意義上,增加了管理後臺被攻擊者發現的成本,但並不能規避因爲自身缺陷造成的安全問題。 所以,在保證隱蔽性下的前提下,管理後臺可以採用白名單IP訪問限制,強密碼以及手機令牌等更加安全的登陸方式。
-
API 接口信息泄露
API的使用頻率越來越高,佔比也越來越大,所謂“能力越大責任越大”,安全的API使用固然可以帶來極大的便利,但是API的安全一旦出了問題,帶來的後果將是毀滅性的。
在測試的第一步,信息收集的領域,關於API我們首先能接觸到的,就是API具體使用參數等詳情的信息保密狀態了。
零時科技安全團隊對某交易所進行安全測試時,發現該交易所的代碼是外包公司所編寫。在而後的信息收集過程中,零時科技安全團隊在google上找到了外包公司編寫代碼時留下的,託管在某團隊協作平臺上的API文檔。
文檔中詳細地說明了使用API時用到的各種參數及其類型和具體的含義,用處,並且在樣例中遺留下了一些測試時使用的具體參數,對後續的測試提供了很大幫助。
-
域名 Whois 及備案信息採集
雖然現在已經有交易所註冊域名時會使用域名註冊商提供的服務,沒有在Whois等域名信息備案網站上泄露公司或相關人員信息, 但仍然有一些交易所會“本尊”親自注冊域名,這時利用Whois或其它的工具就可以找到該交易所域名的註冊公司或相關人員的詳細信息。
而這些不起眼的信息對於後續的測試手段(如密碼猜解,社會工程學攻擊等)都會有很大幫助,可以極大提高其成功率。
零時科技安全團隊在對另一家交易所進行安全測試時,根據該交易所在Whois上留下的門戶網站域名備案信息,找到了其註冊公司,而後又根據註冊公司信息找到了該公司經理(亦爲股東之一)的手機號,QQ號,微信號和註冊人郵箱的一部分。
雖然因爲授權原因並沒有開展後續的社會工程學攻擊等測試手段,但在真正需要使用特殊攻擊手法時,這些信息無疑會極大提高成功率,能讓測試方更從容,更輕鬆地撕開突破口,完成測試。
-
GitHub 源碼泄露發現
部分開發人員在編寫代碼時會習慣性地將源碼上傳到github等代碼託管平臺上,而這些源碼,則是每個測試方都日思夜想要拿到的東西。
畢竟,如果拿到了源碼,就可以對其進行審計工作,直接找尋編寫源碼時留下的漏洞和疏忽。這會使得整個測試過程更加容易,減少了很大工作量。同時直接審計源碼可以找到的問題和漏洞也會更加全面,具有針對性。
同樣地,對於交易所所使用的源碼的找尋同樣是信息收集中重要的一環,如下是在一家交易所網站上找到的/.git源碼文件。
零時科技安全團隊通過審計源碼,將審計過程中找到的,存放於註釋中的敏感信息和其他審計所得與已發現的漏洞相互驗證,成功地在測試中獲得了該服務器的控制權,完成了這次測試。
-
敏感文件發現
敏感文件的種類很多,其中最經典也往往在測試過程中最能發揮作用的就是robots.txt,sitemap.xml等文件,一些敏感文件甚至可以成爲測試的突破口。
以下僅以兩家交易所網站中robots.txt的部分信息爲例。
對於測 試方來說,獲得了這些信息就可以輕鬆地找到交易所網站中確實存在卻不允許被輕易訪問的敏 感頁面。如果這些頁面存在某種規律或特點,甚至可以找到其使用的組件,CMS等其他信息,進而更有針對性地進行測試工作。
而在針對該交易所的測試過程中,零時科技安全團隊也確實使用了其中的信息,配合其他手法成功攻入了該交易所後臺。
·END·
以上就是本期文章的全部內容。
信息收集對於測試方來說是測試的第一步,是測試的基礎,那麼對於交易所方來說,隱藏信息就是保障自身安全的第一步,做好自身信息的隱藏,就能將絕大多數的攻擊扼殺在襁褓之中。
互聯網是一座黑暗森林, 每個攻擊者都是帶槍的獵人,像幽靈般潛行於林間,輕輕撥開擋路的樹枝,竭力不讓腳步發出一點兒聲音,連呼吸都必須小心翼翼 。
下一篇文章將會講述有關於社會工程學的更高級的情報收集,敬請關注。
深圳零時科技
專注爲客戶提供全方位區塊鏈安全解決方案及審計服務
深圳零時科技有限公司是一家專業的區塊鏈安全漏洞風險檢測與安全防禦、企業級區塊鏈應用創新解決方案提供商。
公司團隊深耕網絡安全攻防十餘年,並深入研究區塊鏈安全實戰經驗豐富,旨在爲客戶提供全方位的安全審計服務及安全解決方案。
公司產品
智能合約自動化審計平臺 | DappGuard合約安全衛士 | 去中心化的安全賞金平臺 | 區塊鏈安全風險實時檢測平臺 | 區塊鏈數字資產追蹤平臺 | ... |
行業解決方案
交易平臺 | 智能合約 | 錢包 | DApp | 公鏈 | 礦池 | 超級節點 | 威脅情報 | 風險監控預警 | 數字資產追蹤 | ... |
你與區塊鏈安全
只差一個公衆號