导语:研究人员在一个已经集成到许多银行系统中的API内发现了这个漏洞,它可能会让攻击者获得用户的信息从而对数百万的用户进行攻击。
研究人员发现,一个大型的金融技术(Fintech)平台的API中的一个服务器端请求伪造(SSRF)漏洞有可能会危及数百万银行账户的安全,攻击者能够通过控制客户的银行账户和资金进行犯罪。
研究人员在周四发表的一份报告中披露,Salt Security的Salt Labs团队在一个支持该组织平台资金转移功能的网页中的API中发现了这个漏洞,该功能允许客户将其平台上的账户中的钱转移到他们的银行账户内。
该公司被称为 "Acme Fintech",为各种规模的银行提供 "数字转型" 服务,并允许这些机构将传统的银行服务转换为在线服务。研究人员说,目前该平台已被整合到许多银行的系统中,因此它拥有数百万的每日活跃用户。
如果该漏洞被攻击者所利用,那么攻击者可能通过该平台来获得对银行系统的管理权限从而进行各种违法的活动。研究人员说,他们可以从那里泄露用户的个人数据,访问银行的详细资料和金融交易,并在未授权的情况下向自己的银行账户转账。
他们说,在发现该漏洞后,研究人员调查复现了他们的发现并向该组织提供了很好的缓解措施。
API中的漏洞经常会被忽视,但Salt实验室的研究人员在报告中说,他们每天都会看到像这样的漏洞以及其他与API有关的漏洞。
事实上,根据该公司2022年第一季度的API安全状况报告,5%的组织在过去的12个月中经历了众多API安全事件。他们说,这一时期可以看出恶意的API流量在大幅增长。
Salt Security的研究人员在一份新闻声明中说,关键的SSRF漏洞在许多金融科技供应商和银行机构内普遍存在。API攻击正在变得越来越频繁和复杂。
研究人员说,金融科技公司特别容易受到攻击,因为他们的客户和合作伙伴需要依靠庞大的API网络来实现各种网站、移动应用程序和定制集成系统之间的互动。
研究人员写道,这反过来又使他们成为了 "API漏洞的攻击者的主要攻击目标",原因有二。
第一,他们的API整体功能非常丰富和复杂,这就意味着在开发中可能会出现错误或者忽略一些细节。第二,如果一个攻击者能够成功地滥用这种类型的平台,那么它潜在的利润是巨大的,因为它可能会控制数百万用户的银行账户和资金。
研究人员在扫描和记录该组织网站上发送和接收的所有流量时发现了这个漏洞。在一个连接客户在各家银行之间进行转账的页面上,研究人员发现浏览器所调用的处理请求的API有问题。
这个API使用的是位于'/workflows/tasks/{TASK_GUID}/values'的端点,调用它的HTTP方法是PUT方法,而具体的请求数据是在HTTP正文部分发送的。
请求体还携带了一个JWT令牌,这是一个加密签名的密钥,可以让服务器知道谁是请求用户以及他有哪些权限。
研究人员解释说,该漏洞存在于发送资金转移所需数据的请求参数中,特别是一个名为 "InstitutionURL "的参数,这是一个需要用户提供的值。
在这种情况下,银行的网络服务器通过访问URL本身来处理用户提供的URL,如果它被插入到代码中,那么它会允许SSRF中的网络服务器调用任意一个URL。
研究人员通过伪造一个包含他们自己域名的恶意请求来复现这个漏洞。他们写道,向他们服务器发送的连接请求是成功的,这证明了服务器会盲目地信任通过这个参数所提供给它的域名,并同时向该URL发出请求。
此外,进入他们服务器还需要包含一个用于认证的JWT令牌,但是这个令牌与原始请求中的令牌不同。
研究人员将新的JWT令牌嵌入到了他们之前遇到的一个名为"/accounts/account "的端点请求中,该请求允许他们从一个银行账户中检索信息。他们说,这一次他们返回了更多的用户信息。
研究人员透露,API端点识别了我们新的JWT管理令牌,并返回了整个平台的每个用户及其详细信息的列表。
他们说,用新的令牌再次尝试请求一个名为"/transactions/transactions "的端点,结果也允许他们访问银行系统中的每个用户的交易列表。
研究人员说,这是一个非常致命的漏洞,它完全侵害了每个银行用户的权益。如果攻击者发现了这个漏洞,他们可能会对该组织和其用户造成严重的损害。
Balmas说,Salt实验室希望,API漏洞的出现将会继续激励安全从业者更加仔细的研究他们的系统如何避免受到这种方式的攻击。本文翻译自:https://threatpost.com/ssrf-flaw-fintech-bank-accounts/179247/如若转载,请注明原文地址 [来源:嘶吼网]
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件:三峡大学数据安全的坚实后盾与合作伙伴
学校介绍三峡大学是经国家教育部批准,由原武汉水利电力大学(宜昌)和原湖北三峡学院于2000年5月25日合并组建。2018年,学校被省人民政府列为“国内一流大学建设高校”,水利工程、土木工程、电气工程等3个学科被列为“国内一流学科建设学科”;目前,三峡大学已发展成为水利电力特色与优势比较明显、综合办学实力较强、享有较高社...
零部件企业数据保卫战:安企神软件如何筑起防泄密铜墙铁壁
瑞安市特迩翡汽车配件有限公司企业背景瑞安市戴尔菲汽车零部件有限公司一直致力于高共轨电喷(EFI)发动机和SCR排气系统的研发。通过了16949质量管理体系和CE认证,公司具备自主开发汽车电子系统和核心软件的技术能力。公司力争成为以市场为导向、以技术为支撑、以质量为先、以人才为本的知名创新型企业。产品包括:氮氧化物传感器...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...