Биржа Poloniex имеет большие проблемы с безопасностью

Written by
биржа Poloniex

Биржа Poloniex, одна из ведущих криптовалютных бирж по альткоинам, имеет большие проблемы с безопасностью сервиса.

Пользователь Xavier59 нашел 3 уязвимости биржи Poloniex:

  • сервис использует метод GET вместо Post
  • отсутствует проверка типа данных
  • код сервиса  находится в открытом доступе

Существует 2 важных и основных метода коммуникации между клиентом и сервисом по API: GET и POST. 

Метод GET передает набор данных в линке, которые может увидеть каждый пользователь. Простой пример http://example.com/forum/poloniex-is-unsecure?page=3

Метод POST используется для передачи зашифрованных данных.

 Сервис работает с данными разных типов: от числовых до символьных. К примеру,  “1”+”1”=”11” и 1+1=2. Сервис должен делать проверку и понимать с каким типов данных он работает. На данный момент такой механизм отсутствует, что говорит о низком уровне программного кода.

Код сервиса  находится в открытом доступе, что делает биржу Poloniex уязвимой для хакерских атак.

var mods =

{«Chickenliver»:1,»MobyDick»:1,»InfiniteJest»:1,»cybiko123″:1,»SweetJohnDee «:1,»smallbit»:1,»Wizwa»:1,»OldManKidd»:1,»Quantum»:1,»[email protected]»:1,» Thoth»:1,»wausboot»:1,»SolarPowered»:1,»qubix»:1,»Oldgamejunk»:1,»Chewpacab ra»:1,»j33hopper»:1,»Futterwacken»:1,»ultim8um»:1,»Atlanta»:1};

// […]

if (trollboxRow[‘username’] in mods){

// do some action

if(trollboxRow[‘message’].indexOf(«https://poloniex.com») != -1){

// set click

}

Вот пример кода, где в поле [‘username’] можно указать свой ник и получить права модератора чата.

 

Хронология событий

  • Пользователь Xavier59 написал 2 сентября в службу поддержки о первом дефекте и 4 сентября  получил ответ и вознаграждение 0.2 биткоин
  • Пользователь Xavier59 написал 16 сентября в службу поддержки о втором дефекте, но ответа еще нет.
  • Пользователь Xavier59 написал 7 октября в службу поддержки о третьем дефекте, но ответа еще нет.

Обсудить данную новость Вы можете в нашем чате Telegram

Наш Telegram канал — GetCoinToday & Phönix Gruppe

Share