黑基网 首页 资讯 互联网 查看内容

Blockchain严重漏洞:允许用户交互窃取比特币钱包备份文件

2017-11-14 11:56| 投稿: lofor |来自: 互联网

摘要: Blockchain.info是一个提供比特币加密货币钱包以及比特币区块链数据查询的综合型服务。该服务于2011年8月开始,提供关于最新的比特币交易信息、比特币区块链图表中的开采区块以及开发者的统计资料和资源等查询功能。 ...

Blockchain.info是一个提供比特币加密货币钱包以及比特币区块链数据查询的综合型服务。该服务于2011年8月开始,提供关于最新的比特币交易信息、比特币区块链图表中的开采区块以及开发者的统计资料和资源等查询功能。

安全研究员Shashank在blockchain.info中发现了一个严重的漏洞,允许他能够以微不足道的用户交互方式窃取任何人的比特币钱包备份文件。

研究人员表示,Blockchain.info的备份功能允许用户创建了一个JSON文件,该文件是用户帐户的备份,可供用户自己下载或将其快速存储到Gdrive(谷歌云端硬盘)或Dropbox帐户中。

如果这个JSON文件遭到盗窃,窃匪便可以轻松地在blockchain.info中导入它,并从用户账户中拿走所有的资产。

Shashank说:“我注意到,一旦你点击了存储到Gdrive或Dropbox的按钮,你将被要求登录你的Gdrive或Dropbox帐户。一旦授权,blockchain.info将自动存储JSON文件到你的Gdrive或Dropbox中。”

进行Gdrive身份验证时,会生成一个链接,但不包含任何CSRF令牌:

“https://blockchain.info/wallet/gdrive-update?code={YourGdriveToken}”

现在,如果攻击者想要窃取任何人的JSON文件,他将执行以下操作:

1-在blockchain.info使用GDrive账户进行登录;

2-获得上述中不包含CSRF令牌的链接;

3-将自己的Gdrive令牌添加到链接中并发送给受害者;

“https://blockchain.info/wallet/gdrive-update?code={GoogledriveToken} ”

4-受害者点击链接后,JSON文件将自动存储到攻击者的谷歌云端硬盘。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部