Биржа Poloniex, одна из ведущих криптовалютных бирж по альткоинам, имеет большие проблемы с безопасностью сервиса.
Пользователь Xavier59 нашел 3 уязвимости биржи Poloniex:
- сервис использует метод GET вместо Post
- отсутствует проверка типа данных
- код сервиса находится в открытом доступе
— Существует 2 важных и основных метода коммуникации между клиентом и сервисом по API: GET и POST.
Метод GET передает набор данных в линке, которые может увидеть каждый пользователь. Простой пример http://example.com/forum/poloniex-is-unsecure?page=3
Метод POST используется для передачи зашифрованных данных.
— Сервис работает с данными разных типов: от числовых до символьных. К примеру, “1”+”1”=”11” и 1+1=2. Сервис должен делать проверку и понимать с каким типов данных он работает. На данный момент такой механизм отсутствует, что говорит о низком уровне программного кода.
— Код сервиса находится в открытом доступе, что делает биржу Poloniex уязвимой для хакерских атак.
var mods =
{«Chickenliver»:1,»MobyDick»:1,»InfiniteJest»:1,»cybiko123″:1,»SweetJohnDee «:1,»smallbit»:1,»Wizwa»:1,»OldManKidd»:1,»Quantum»:1,»busoni@poloniex»:1,» Thoth»:1,»wausboot»:1,»SolarPowered»:1,»qubix»:1,»Oldgamejunk»:1,»Chewpacab ra»:1,»j33hopper»:1,»Futterwacken»:1,»ultim8um»:1,»Atlanta»:1};
// […]
if (trollboxRow[‘username’] in mods){
// do some action
if(trollboxRow[‘message’].indexOf(«https://poloniex.com») != -1){
// set click
}
Вот пример кода, где в поле [‘username’] можно указать свой ник и получить права модератора чата.
Хронология событий
- Пользователь Xavier59 написал 2 сентября в службу поддержки о первом дефекте и 4 сентября получил ответ и вознаграждение 0.2 биткоин
- Пользователь Xavier59 написал 16 сентября в службу поддержки о втором дефекте, но ответа еще нет.
- Пользователь Xavier59 написал 7 октября в службу поддержки о третьем дефекте, но ответа еще нет.
Обсудить данную новость Вы можете в нашем чате
Наш Telegram канал —
