Exploitation et analyse des vulnérabilités des portefeuilles Web et des portefeuilles de bureau

Avec le développement rapide de la technologie blockchain, les actifs cryptés sont progressivement devenus l'une des méthodes d'investissement pour le public. La croissance rapide de l'échelle des actifs cryptés mondiaux fait du portefeuille un outil de gestion d'actifs indispensable pour chaque propriétaire d'actifs cryptés. Dans le domaine du cryptage, les portefeuilles numériques sont étroitement liés aux fonds, et de plus en plus de personnes réalisent l'importance de la sécurité des portefeuilles numériques. La 28e conférence DEF CON, connue sous le nom de "Global Hacker's Carnival Party", s'est récemment conclue avec succès. Le 9 août 2020, Peiyu Wang et Minzhi He, ingénieurs en sécurité de CertiK, ont prononcé un discours lors de la conférence DEF CON Blockchain Security sur le thème : Exploit Insecure Crypto Wallet (utilisation et analyse de la vulnérabilité du portefeuille crypté). Cet article vous ramènera pour revoir les idées des ingénieurs de sécurité de CertiK sur la sécurité des portefeuilles cryptés. Un portefeuille cryptographique est un appareil, un programme ou un service qui stocke des clés privées et/ou publiques. Parce que les crypto-monnaies sont virtuelles, les portefeuilles cryptés ne peuvent pas être utilisés pour stocker de vraies pièces. Mais lorsque nous effectuons une transaction, le portefeuille crypté peut utiliser la clé privée de l'utilisateur pour signer la transaction et la diffuser sur la blockchain. Il existe différents types de portefeuilles cryptographiques, tels que les portefeuilles logiciels et les portefeuilles matériels. Cette conférence portera sur les portefeuilles Web et les portefeuilles de bureau. Examen en direct de la parole : introduction du portefeuille de cryptage Il s'agit d'une interface de portefeuille Web typique, qui est notre portefeuille CertiK Deepwallet. Les utilisateurs peuvent voir le solde du compte et l'option d'envoyer des devises dans cette interface.Parce qu'il s'agit d'un portefeuille basé sur COSMOS, il a une fonction de délégation. Lorsque nous parlons de sécurité des applications Web, les dix principales vulnérabilités de sécurité de l'Open Web Application Security Project (OWASP) viennent à l'esprit en premier. Voici quelques statistiques sur les 10 principales vulnérabilités de sécurité du "OWASP Top 10" parmi 27 portefeuilles Web interrogés par les ingénieurs en sécurité de CertiK. Les ingénieurs en sécurité de CertiK ont trouvé des attaques de script intersite (XSS) dans 3 portefeuilles, et 2 cas sont sélectionnés ici pour une étude de cas. Solana a répondu que le temps de ping était anormal : il était causé par une mise à jour de la page Web, et non par un problème de performances du système : Jinse Finance a signalé qu'aujourd'hui, la page d'état du réseau de Solana affichait un temps de ping moyen anormal. Solana a répondu que l'anomalie était causée par une mise à jour hors ligne. de la page Web et n'était pas lié au système Le problème de performances n'est pas lié et n'a aucun impact sur les performances du réseau Les indicateurs de temps de ping moyens actuels sont revenus à la normale. [2022/11/20 22:07:40] Nous avons trouvé une vulnérabilité d'injection SqI dans un portefeuille décentralisé. Mais sa base de données ne contient que des données de transaction.Comme les données de transaction dans la blockchain ont été rendues publiques, il n'est pas logique d'utiliser l'injection Sql pour voler des données. Puisqu'il n'y a aucun moyen d'utiliser l'injection SqI pour réaliser l'exécution de code en arrière-plan, dans ce cas, cette attaque par injection SqI a peu d'impact pratique. De plus, il existe une faille dans l'autorité d'accès d'une API dans ce portefeuille décentralisé.Les utilisateurs non autorisés peuvent altérer les paramètres 2FA d'autres personnes, mais il n'y a aucun moyen d'utiliser cette faille pour voler des actifs dans les comptes d'autres personnes. De nombreux portefeuilles Web manquent d'en-têtes de sécurité, tels que les en-têtes Content Security Policy (CSP) et "X-Frame-Options", ce qui peut rendre le portefeuille vulnérable aux attaques de détournement de clic (Clickjacking). Certains portefeuilles utilisent encore des bibliothèques JavaScript obsolètes et des serveurs Nginx/Apache avec des CVE, et ces vulnérabilités ne peuvent pas être directement exploitées. Les ingénieurs en sécurité de CertiK n'ont trouvé aucun portefeuille traitant des données au format XML, ni trouvé de portefeuille ayant effectué des opérations de désérialisation, de sorte qu'aucune vulnérabilité XXE et liée à la désérialisation n'a été trouvée. Concernant les logs et le monitoring, il n'y a pas plus d'informations pour le moment. Cas 1 : Vulnérabilité DOM XSS d'un portefeuille Web décentralisé Il s'agit d'un cas de vulnérabilité DOM XSS d'un portefeuille Web décentralisé. Ce portefeuille prend en charge un seul protocole et possède toutes les fonctions de base d'un portefeuille Web. Fonction vulnérable Cette application enregistrera le dernier emplacement d'accès : après que l'utilisateur aura déverrouillé le portefeuille avec le mot de passe, il reviendra à la page avant le déverrouillage. La figure suivante est le code pour réaliser cette fonction. Si vous avez de l'expérience dans le test d'applications Web, vous savez qu'il y a de fortes chances de vulnérabilités DOM XSS dans ce cas, ce qui est le cas dans ce cas. La version web de Roseon Finance, agrégateur de revenus multi-chaînes et plateforme NFT, est sortie : Roseon Finance, agrégateur de revenus multi-chaînes et plateforme NFT, a annoncé la sortie de la version web de Roseon, utilisable sur tous dispositifs. [2021/8/18 22:21:48] DOM XSS DOM XSS nécessite Source et Sink. La source est l'endroit où l'application reçoit des données non fiables (entrée utilisateur), qu'elle transmet ensuite au récepteur. Lorsqu'un utilisateur visite ce lien, "window.location.search" renverra  "?returnTo=/validators", puis "{returnTo}" contiendra "/validators". Le récepteur est l'endroit où les données non fiables de la source sont traitées, donc le récepteur est ici : "window.location.href", si l'utilisateur entre "returnTo=/validators". Le portefeuille retourne à "/validators", c'est-à-dire va à la page des validateurs. Si vous entrez "returnTo=javascript:alert(1)", une fenêtre d'alerte apparaîtra dans le navigateur. Les portefeuilles Keystore et Password sont des portefeuilles Web décentralisés. Une fois qu'un utilisateur a créé un compte ou importé un compte, le magasin de clés et le mot de passe sont stockés dans le stockage local. Lecture du stockage local à l'aide de JavaScript JavaScript peut lire des informations dans le stockage local. Dans ce cas, les données clé-valeur s'affichent sous la forme "Hello World" stockées dans le stockage local. JavaScript peut exécuter LocalStorage.getItem("Hello") pour obtenir "World". FTX est maintenant sur la monnaie de la plate-forme Web Front-end Bonfida de Serum FIDA: Le 22 décembre, la plateforme de trading de dérivés de crypto-monnaie FTX a maintenant lancé la devise de la plate-forme Bonfida frontale Web la plus complète FIDA de l'échange décentralisé Serum DEX, et a ouvert FIDA / USD et paire de négociation au comptant FIDA/USDT. FTX a activé 0 frais de commande en attente, 0 frais de livraison de contrat et 0 frais de retrait de pièces. Il est entendu que Bonfida est le premier front-end qui fournit aux utilisateurs l'analyse des données de transaction Serum DEX sur la chaîne Solana. L'intégrité fonctionnelle de la plateforme Bonfida peut encore renforcer et optimiser la connexion entre Serum, Solana et les utilisateurs. De plus, l'API écrite par Bonfida est également largement utilisée par certaines équipes de market maker de premier plan sur Serum DEX, et les demandes hebdomadaires d'API continuent de croître à un taux de 25 %. [2020/12/22 16:10:31] Utilisation de DOM XSS Comment utiliser la vulnérabilité DOM XSS découverte pour voler le Keystore et le mot de passe dans le stockage local ? Dans cette URL ci-dessous, il peut lire le contenu de Keystore et Password et l'envoyer au serveur du pirate. Dans le journal du serveur du pirate, vous pouvez voir directement le contenu et le mot de passe du magasin de clés. Une fois en possession de ces informations, cela équivaut à contrôler le compte de l'utilisateur, peut se connecter à son portefeuille et transférer de l'argent. Méthode de réparation La méthode de réparation du fabricant du portefeuille Web est que chaque fois que l'utilisateur déverrouille le portefeuille, le portefeuille Web sera toujours redirigé vers la page d'accueil personnelle, afin de ne donner aucune chance à l'attaquant d'insérer du code malveillant. Deuxième cas : Vulnérabilité XSS réfléchie dans un portefeuille Web hébergé La deuxième étude de cas concerne une vulnérabilité XSS réfléchie dans un portefeuille Web hébergé. Les portefeuilles Web hébergés sont des serveurs qui gèrent toutes les clés privées. Pour se connecter à l'application portefeuille, l'utilisateur reçoit un mot de passe à usage unique par e-mail. Dans ce cas, le portefeuille prend en charge 16 devises différentes, possède toutes les fonctions de base du portefeuille et une fonction supplémentaire appelée "twittergiving". Nouvelle mise à niveau de la page Web du produit contractuel Bitget : selon les informations officielles, afin d'améliorer l'expérience utilisateur, Bitget a terminé six aspects des mises à niveau du produit contractuel le 14 juillet 2020, heure de Singapour, notamment : l'ajout d'une fonction de prise de commande rapide sur le tableau, achat Par rapport à la commande et à la commande de vente, le réglage avancé de la commande du seul fabricant, IOC et FOK est ajouté, le type de déclenchement de la commande de plan est ajouté, la méthode d'affichage du taux de capital est optimisée et l'ordre de transaction La page ajoute des options de réglage. L'optimisation des produits aide les utilisateurs à effectuer des transactions plus facilement. L'équipe Bitget continuera à fournir aux utilisateurs de meilleurs produits et services. [2020/7/14] Fonctionnement de l'API Le format d'URL de l'API est similaire à "/API/{endpoint}", par exemple, l'API pour obtenir des informations sur les transactions de l'utilisateur est "/apiUser/cloudTrans". Si vous accédez à un point de terminaison d'API inexistant, tel que "/api/test", le serveur renverra une page avec un message d'erreur, comme illustré dans la figure ci-dessous "Impossible d'analyser la requête". De plus, nous avons constaté que le contenu du lien apparaissait dans la page renvoyée par le serveur. Cela représente un signal : s'il n'y a pas de traitement ou d'encodage de l'entrée de l'utilisateur en arrière-plan, il peut être attaqué par Reflected XSS. alert(document.domain) Ajoutez le contenu suivant après la requête API de ce portefeuille : <svg+onload=alert(document.domain)>" L'application ouvrira une fenêtre. Il s'agit d'un portefeuille Web hébergé, clé privée Il est géré par le serveur, il est donc impossible de voler directement les informations de l'utilisateur comme dans le premier cas. Dans ce cas, notre plan est d'essayer d'utiliser cette vulnérabilité pour détourner les comptes des utilisateurs. Cookie Une fois que l'utilisateur s'est connecté, son jeton de session est stocké dans le cookie "PHPSESSID", et la particularité de ce portefeuille est que le jeton n'a pas "HttpOnly". Si le cookie est défini sur HttpOnly, le navigateur empêchera JavaScript d'accéder au cookie. En d'autres termes, il peut empêcher les attaquants de cross-site scripting (XSS) ) pour voler le jeton de session dans le cookie. Dynamique | Une violation de données à grande échelle s'est produite en Allemagne. Les informations privées de centaines de politiciens, célébrités et journalistes ont été divulguées, et deux adresses e-mail et un numéro de fax de la chancelière allemande Angela Merkel ont également été publiés en ligne. Plusieurs départements allemands ont lancé conjointement une enquête sur l'affaire, et le Centre fédéral de sécurité des technologies de l'information Le Centre national allemand de cyberdéfense a coordonné l'ensemble de l'enquête. À l'heure actuelle, Twitter et Google a répondu en supprimant le compte, les blogs associés et les liens de recherche. Cependant, les informations divulguées doivent être supprimées de toutes les plates-formes. Les données sont une tâche presque impossible. Certaines données ont été envoyées à des pages Web à l'aide de la blockchain, et la technologie de la blockchain peut empêcher la [2019/1/9] Obtenir le jeton de session Puisqu'il n'y a pas de HttpOnly dans le jeton de session dans ce cas, le contenu du cookie peut être lu et envoyé à son propre serveur via un script intersite (XSS ). Après avoir obtenu le jeton de session, il peut être utilisé pour se connecter au compte de la victime. Maintenant que vous avez des jetons de session, il est temps de faire un pillage. Le but ultime du piratage des portefeuilles est principalement de voler les fonds des utilisateurs, mais il y a toujours un problème car la vérification 2FA est également requise pour les transactions en devises.À ce stade, les pirates ne peuvent ni réinitialiser 2FA ni désactiver 2FA, de sorte que l'attaquant doit trouver un moyen de contourner la vérification 2FA.Comme mentionné précédemment, ce portefeuille a un Twitter fonction cadeau : lorsque l'utilisateur entre dans cette interface de fonction, il lui demande quel type de devise il souhaite donner, combien de devise donner et combien de personnes donner. À partir de cette capture d'écran, vous pouvez voir que l'utilisateur peut donner jusqu'à 2 bitcoins. Lorsque l'utilisateur a configuré l'activité cadeau, d'autres personnes doivent d'abord cliquer Faites attention aux 3 amis d'Aite et retweetez ce tweet cadeau, tant que vous suivez ces étapes, vous pouvez aller recevoir le prix. Mais le problème c'est que cette fonction ne nécessite pas de 2FA !Les attaquants peuvent passer Grâce à XSS réfléchissant, volez la session de la victime, connectez-vous au compte de la victime, créez de nombreuses activités cadeaux, puis réclamez la récompense par vous-même. De cette manière, la totalité du solde du compte de la victime peut être retirée. Le correctif Le fournisseur code en HTML la sortie, ce qui résout la vulnérabilité XSS. Définissez également "HttpOnly" pour le cookie "PHPSESSID" contenant le jeton de session. De cette façon, même si l'application est attaquée par des scripts intersites, l'attaquant ne peut pas voler directement le jeton de session du compte. Un portefeuille de bureau est une application qui s'exécute sur Mac OS, Windows et Linux. Quel cadre les portefeuilles de bureau utilisent-ils ? Les ingénieurs en sécurité de CertiK ont étudié 18 portefeuilles de bureau, dont QT (C++), Dot Net (C#) et Java, et les 15 autres ont utilisé le framework Electron. Cette partie de l'étude de cas explorera la vulnérabilité d'exécution de code à distance du serveur du portefeuille de bureau Dot Net et la vulnérabilité d'exécution de code à distance du client du portefeuille Electron. Cas 1 : Vulnérabilité d'exécution de code à distance du serveur du portefeuille de bureau Dot Net La section suivante analyse une vulnérabilité d'exécution de code à distance trouvée dans le portefeuille de bureau. Permettez-moi d'abord de vous présenter le contexte : ce portefeuille est un portefeuille décentralisé à protocole unique, écrit en langage C#, utilisant le framework Dot Net. Il contient de nombreuses fonctions de portefeuille courantes, telles que la gestion de compte, le transfert de transactions et le déploiement/appel de contrats intelligents, etc. Plus intéressant, il permet également aux utilisateurs de télécharger des fichiers sur le serveur

Tags：

SHIB