详细内容
新推出的DX.Exchange交易所在其網站上存在嚴重安全問題,如果他們陷入惡意人手中,可能會危及用戶的敏感數據和資金。
新的交易平台允許用戶交易許多大公司股票的加密和數字化版本,如蘋果,特斯拉和亞馬遜,在推出後僅3天就成功吸引了公眾的注意力。
文章回顧:DX來了! 使用NASDAQ技術,全新加密貨幣交易所公布上線
DX.Exchange首席執行官Daniel Skowronski接受采訪時表示他們已經擁有600,000名註冊用戶。
然而,一位匿名在線交易商進行的「試驗」顯示,DX.Exchange網站涉及安全問題,危及其用戶的敏感數據,甚至是他們的資金。
因此,幾天前,在聽到平台發布之後,一位在線交易員決定試一試,看看他是否想要使用它。
他創建了一個虛擬賬戶,因為他仍然希望看到平台的穩健性以及確保安全級別,因為它收集了大量用戶的敏感信息,例如財務和法律數據。
在探索該平台時,他開啟了Chrome瀏覽器的開發者工具並發現讓他震驚的情況。他的瀏覽器發送給DX.Exchange的請求包含了不應該存在的信息,這是用戶訪問其帳戶所需的身份驗證令牌。
他也不知道為什麼DX.Exchange發送給他的瀏覽器的回應中包含大量敏感信息,包括其他用戶的身份驗證令牌和密碼重置鏈接。
他說:「我在30分鐘內收集了大約100個驗證令牌」。
由於令牌是使用標準JSON Web令牌格式化的,因此任何有足夠技能了解此站點的人都可以輕鬆查看令牌所屬的DX.Exchange用戶的全名和電子郵件地址。
他繼續說道:「如果你想將此用於犯罪行為,是一件非常容易的事。」
通過使用站點編程接口進行一些調整,即使用戶已經註銷,他甚至可以成功保持對任何帳戶的訪問權限。他很遺憾該網站在調用API時沒有發出任何通知。
這就是問題的全部嗎?
可悲的是,事實並非如此。除了洩漏敏感數據並允許未經授權訪問用戶帳戶外,洩漏還會使整個系統處於危險之中,因為一些洩露的令牌屬於公司員工。
想像一下,如果惡意用戶設法獲得具有管理員權限的員工帳戶,他們可以做些什麼。
這位交易員對Ars Technica說,要從交易所獲得令牌。他繼續說:「你可以從帳戶的電子郵件地址看到它是 @coins.exchange。我非常有信心,我可以在一天內做到這一點,並獲得一個管理令牌,並擁有一切。」
Ars Technica的工作人員隨後發現DX.Exchange站點確實響應了大量的身份驗證令牌。他設法聯繫了令牌列表中的幾個用戶,詢問他們是否真的在交易所有賬戶,其中一個確認剛剛在不到一個小時前註冊。
DX.Exchange官方已在Twitter帳戶上正式公佈有關計劃維護更新以改進平台功能的消息。
在不到24小時的時間裡,該團隊確認了這個漏洞,並感謝Ars,根據Ars的分析,這個漏洞確實被修補了。
【温馨提示】本文内容和图片为作者所有,本站只提供信息存储空间服务,如有涉嫌抄袭/侵权/违规内容请联系QQ:275171283删除! 
新的交易平台允許用戶交易許多大公司股票的加密和數字化版本,如蘋果,特斯拉和亞馬遜,在推出後僅3天就成功吸引了公眾的注意力。
文章回顧:DX來了! 使用NASDAQ技術,全新加密貨幣交易所公布上線
DX.Exchange首席執行官Daniel Skowronski接受采訪時表示他們已經擁有600,000名註冊用戶。
然而,一位匿名在線交易商進行的「試驗」顯示,DX.Exchange網站涉及安全問題,危及其用戶的敏感數據,甚至是他們的資金。
因此,幾天前,在聽到平台發布之後,一位在線交易員決定試一試,看看他是否想要使用它。
他創建了一個虛擬賬戶,因為他仍然希望看到平台的穩健性以及確保安全級別,因為它收集了大量用戶的敏感信息,例如財務和法律數據。
在探索該平台時,他開啟了Chrome瀏覽器的開發者工具並發現讓他震驚的情況。他的瀏覽器發送給DX.Exchange的請求包含了不應該存在的信息,這是用戶訪問其帳戶所需的身份驗證令牌。
他也不知道為什麼DX.Exchange發送給他的瀏覽器的回應中包含大量敏感信息,包括其他用戶的身份驗證令牌和密碼重置鏈接。
他說:「我在30分鐘內收集了大約100個驗證令牌」。
由於令牌是使用標準JSON Web令牌格式化的,因此任何有足夠技能了解此站點的人都可以輕鬆查看令牌所屬的DX.Exchange用戶的全名和電子郵件地址。
他繼續說道:「如果你想將此用於犯罪行為,是一件非常容易的事。」
通過使用站點編程接口進行一些調整,即使用戶已經註銷,他甚至可以成功保持對任何帳戶的訪問權限。他很遺憾該網站在調用API時沒有發出任何通知。
這就是問題的全部嗎?
可悲的是,事實並非如此。除了洩漏敏感數據並允許未經授權訪問用戶帳戶外,洩漏還會使整個系統處於危險之中,因為一些洩露的令牌屬於公司員工。
想像一下,如果惡意用戶設法獲得具有管理員權限的員工帳戶,他們可以做些什麼。
這位交易員對Ars Technica說,要從交易所獲得令牌。他繼續說:「你可以從帳戶的電子郵件地址看到它是 @coins.exchange。我非常有信心,我可以在一天內做到這一點,並獲得一個管理令牌,並擁有一切。」
Ars Technica的工作人員隨後發現DX.Exchange站點確實響應了大量的身份驗證令牌。他設法聯繫了令牌列表中的幾個用戶,詢問他們是否真的在交易所有賬戶,其中一個確認剛剛在不到一個小時前註冊。
DX.Exchange官方已在Twitter帳戶上正式公佈有關計劃維護更新以改進平台功能的消息。
WE SCHEDULED FOR TODAY AT 11:00 AM (ESTonIA TIME ZONE) A MAINTENANCE UPDATE TO IMPROVE OUR PLATFORM FUNCTIonALITY AND PERFORM SEVERAL BUG FIXES AND UPDATES. THE PLATFORM WILL COME BACK FULLY FUNCTIonAL AFTER FEW MINUTES. THANK YOU FOR YOUR PATIENCE
— DX.Exchange (@DXdotExchange) January 9, 2019
在不到24小時的時間裡,該團隊確認了這個漏洞,並感謝Ars,根據Ars的分析,這個漏洞確實被修補了。
Bitfinex已經完成了LEO代幣的出售,即新的交易所代幣。根據首席技術官保羅·阿爾多諾(Paolo Ardoino)的說法,Bitfinex在一次私人拍賣中籌集了10億美元。由於私人投資者的投資已達到10億美元的目標,該交易於週六結束,並不會進入公開發售。根據Ardoino的說法,Bitf...
在接受採訪時,加密貨幣愛好者和反病毒程序員邁克菲 (John McAfee) 透露了他計劃利用2020年總統競選推廣加密貨幣的計劃。邁克菲昨天在馬耳他區塊鏈峰會上發表講話說,雖然他打算圍繞一個自由主義者平台,但他有信心沒有人會選舉他作為總統。相反,他希望充分利用他的...
该企业最新区快链快讯
