Наша компания предоставляет услуги все больше и больше предприятий, участвующих в мировом рынке cryptocurrencies, такие как Bitcoin, Litecoin или Эфириум. Он быстро развивается как отрасль финансового рынка. Общая капитализация цифровых валют, оценивается в 30 миллиардов долларов. Это очень заманчивая цель для киберпреступников может стать богатой мгновенно, даже не выходя из дома.

Beatcoin.pl является интернет фондовой биржи популярных cryptocurrencies, чьи владельцы запросили тест на проникновение от нас, прежде чем они вошли в фактический рынок. Это только подтвердило зрелость руководства компании и стремление обеспечить самые высокие стандарты безопасности.

Наша команда, опыт испытаний на проникновение на криптовалюта фондовой бирже, обмен валюты и другие FinTech бизнеса, понял, главная цель людей, которые пытаются взломать такой фондовой биржи. Они хотят, чтобы получить доступ к кошелькам, содержащие cryptocurrencies, чтобы украсть из них.

Клиент предоставил нам биржевом URL и доступ к фиктивным учетным записям пользователей.

Мы исходили из рекогносцировка, который позволить нам получить реальный IP-адрес сервера биржевого из нескольких мест в системе. Тогда нам удалось напрямую подключиться к серверу, без необходимости использования оригинального домена Интернета защищен от DDoS атак и приложений с помощью CloudFlare и брандмауэра приложений (WAF).

Благодаря этой операции мы наткнулись ряд незначительных проблем в заявке клиента, например, Межсайтовый скриптинг (XSS), запрос Межсайтовые подлог (CSRF), полный путь раскрытия информации, а также доступ к панели администратора, а также базы данных. Мы не смогли войти в полученные панели администратора и описанные ошибки позволят нам атаковать в основном клиент на фондовой бирже, но не само приложение. Мы сосредоточились не на нападение админ, но на самом фондовой бирже.

Через пару дней мы обнаружили SQL Injection атаки в одном из HTTP-заголовков, отправленных на сервер. Эта атака позволила нам получить доступ к базе данных. Благодаря этому, мы смогли собрать информацию о пользователях фондовой биржи, изменить свой статус и купить биткойно.

Однако, воровство этот путь не был бы возможным благодаря высокому уровню безопасности. Владельцы реализованы процедуры безопасности, обязывающий сотрудников биржи, чтобы проверить и вручную подтвердить каждый вывод счета. То, что мы пытались сделать немедленно тревогу сотрудники и такой вывод не будут подтверждены.

Конечно, критическая уязвимость SQL Injection является чрезвычайно опасной. Мы могли бы загрузить данные профиля доступа пользователей (логин, пароль), а затем попытаться разбить его и войти на счета выбранных пользователей. К сожалению, мы не знаем, в чем секрет соус в системе защиты пароля.

После следующей пары дней работы нам удалось сделать сервер отправить не только в результате файлов (HTML, JS), но и исходные файлы, которые позволяют нам копировать практически все источники всего криптовалюта фондовой биржи. Один из таких файлов, включенный доступ к криптовалюте кошелькам - наша миссия была выполнена. Каждый хакер пытается напасть на фондовой бирже бы это было сделано в тот самый момент. Кража средств оказалось возможным и, помимо получения доступа к криптовалюте бумажники, наша команда смогла достичь кошельков платежных провайдеров шлюзов - быстрых денежных переводов и SMS.


В тот момент у нас были все: истоки фондовой биржи владельцев развиваются в течение нескольких месяцев, доступ к cruptocurrency кошелькам и счетам провайдеров платежного шлюза. Если бы мы были преступники, мы могли бы незаконно разбогатеть или запустить идентичную платформу фондовой биржи, не тратя ни копейки на это - мы могли бы просто украсть эффект пары месяцев работы от учредителей.

Очевидно, что мы не вышли деньги из взломанных счетов. Вместо этого, мы сообщили клиенту о результатах тестирования. Владельцы исправленных обнаружили уязвимость и попросили нас выполнить тест на проникновение еще один раз, чтобы они могли быть уверены, что платформа находится в безопасности.

Осознавая важность безопасности программного обеспечения и потенциальных угроз, а также обязательства по защите конфиденциальных данных, руководство компании доказали свою деловую зрелость. Это не является обязательным требованием бизнеса безопасность любой предприниматель может позволить себе, независимо от размера организации.

Наша работа для FinTech промышленности показывает, что такие проблемы возникают очень часто в организациях, для которых мы проводим тесты на проникновение. Через пару недель раньше, нам также удалось получить доступ к кошелькам других криптовалюта фондовой биржи и обмена Bitcoin.

Все, что мы делаем, всегда соответствует закону. Мы никогда не нападаем на сервера без конкретного запроса от клиента. Наша цель состоит в том, чтобы улучшить безопасность системы.

Мы хотели бы поздравить beatcoin.pl клиентов при выборе фондовой биржи в ведении людей, которые ставят безопасность в первую очередь.

источник: https://zdalnyadmin.com.pl/blog/2017/07/13/jak-wlamalismy-sie-na-gielde-kryptowalut/