严重getToken函数随意印币漏洞 :任何人可给自己的账号虚增余额

最新推荐文章于 2024-06-18 00:55:36 发布
原创 最新推荐文章于 2024-06-18 00:55:36 发布 · 752 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#智能合约 #区块链 #虚增余额 #安比实验室

AMORCOIN Token合约被发现存在严重安全漏洞,任何人都能通过getToken函数增加自己的Token余额,未设置调用权限且不影响totalSupply,已引发安比(SECBIT)实验室和派盾(PeckShield)警告。建议项目方立即修复,用户提高警惕。

在最近一次漏洞监控扫描中,安比(SECBIT)实验室风险监控平台发出预警,AMORCOIN (AMR) Token 合约存在致命漏洞,任何人都可以随意增加其账户上的 Token 余额。

合约地址:0x14fb4c93fe461ec3f9f22b61ab7030f258867969

安比(SECBIT)实验室小伙伴分析合约源码后发现,该合约中存在一个函数 getToken(),该函数的作用是给调用者的账户余额增加数量为 value 的 Token,value 值由调用者传入。通常合约中增发 Token 的函数仅 owner 可以调用,但是不幸的是,该合约中 getToken() 函数并未设置调用权限,并且该方法未标明可见性,默认为 public,也就是说,任何人都可以通过调用这个函数来任意增加自己账户上的 Token。

另外,通过这个函数增发 Token 后并没有修改 totalSupply 的值,间接导致了所有账户余额总和与合约标明的总量不一致,就是说totalSupply 的值并非 Token 的真实总量。

这里写图片描述

目前该项目处于公募阶段。根据 etherscan 显示,AMORCOIN (AMR) Token 交易量总计 306 笔,其最近一次交易在不到一天前,为交易较为活跃的合约。

这里写图片描述

安比(SECBIT)实验室已于第一时间向项目方发出预警提示。据悉,派盾(PeckShield)团队也独立发现了该问题。另外安比(SECBIT)实验室风险监控平台显示,存在同样问题的合约还有两个。

<
最低0.47元/天 解锁文章
第三方登录、任意用户登录、暴露账号隐私风险等漏洞总结
墨痕诉清风的博客
07-12 805
以两步登录为例,登录输入账号密码/手机号验证码/其他的凭证信息后第一个请求校验其正确性后,第二个请求根据后端返回的账号/手机号/用户id等字段去获取用户凭证的登录逻辑。系统使用jwt作为认证字段,且其中关键用户信息字段可以遍历时,若未验参或者使用弱密钥时,便可以将用户信息字段进行更改,删除/爆破弱密钥重新生成签名,到达任意用户登录。​ 一般正常的登录流程为服务端校验完用户身份后,返回用户凭证,但某些系统由于登录前会有很多的查询用户信息类的功能请求,经常导致在登录验证前就返回了用户凭证。
STM32CUBEMX SYSTICK us延时
hqy450665101的博客
11-07 1958
STM32CUBEMX SYSTICK HAL库中systick定时器默认1Khz 即1ms 所以HAL_Delay()是ms延时 main函数开始会调用HAL_Init()函数 HAL_Init()函数中调用HAL_InitTick(TICK_INT_PRIORITY) HAL_InitTick()函数中调用 HAL_SYSTICK_Config(SystemCoreClock / (1000UL / (uint32_t)uwTickFreq)设置为1ms进一次中断 只需要使用HAL_SYSTICK_Co
逻辑漏洞:Token值回显的逻辑漏洞
qq_68163788的博客
05-06 1030
Token相关的逻辑漏洞指的是在身份验证和授权过程中,未正确验证token的有效性、未及时更新或刷新token、token泄露导致全风险、token过于简单易猜测被破解、token未加密存储或传输、token过期时间设置不当等问题。这些漏洞可能导致未授权访问、信息泄露、身份冒充等全隐患,严重影响系统的全性和数据的保密性。因此,确保token机制的全性和完整性对于系统的全至关重要。
python人脸融合_用Python玩人脸融合,想知道你未来孩子的长相?(附代码)
weixin_39976413的博客
12-06 278
这次花了点时间,将百度智能云里面的人脸识别功能与python结合,进行了一场实验。结果还是蛮有成就感的,过程也挺简单,不会复杂,说不定,你就能融合出你孩子的长相了耶~ 下面我们一起敲起键盘吧! 前期预备百度AI开放平台账号注册用你的百度账号登陆ai.baidu.com,百度AI开放平台。然后创建一个人脸识别应用, 你就会得到API Key 和 Secret Key,这我们等会代码里要用到,...
gettoken函数有什么用_求和只能用sum函数?计算类的题,并不一定要用函数
weixin_33303537的博客
12-03 1056
首先,各位同学遇到Excel计算题,不要一根筋的老想着用“函数”去解题!我们看看下面这道真题:题目要我们求出2015和2016年销量的全年总量但是,题目有说要用sum函数做吗?对于这种题目没有明确说明要用什么函数做的,我们可以用函数做,也可以直接用公式做!方法1:使用sum函数进行求和动图如下:方法2:使用公式进行求和很明显,使用sum函数解题要便捷的多,但是,我只是给大家提一个思路:“...
漏洞复现--XXL-JOB默认accessToken身份绕过漏洞
qq_53003652的博客
11-03 2152
文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负。
js中获取token的函数
热门推荐
周呆呆的备忘中心
10-16 2万+
1.从cookies获取 /** * 从Cookies中获取token * */ function getToken(){ var strcookie = document.cookie;//获取cookie字符串 var arrcookie = strcookie.split("; ");//分割 //遍历匹配 for ( var i = 0; i &l...
精选资源
GetTokenGetToken
01-30
GetToken
精选资源
GetToken:此工具用于获取Facebook令牌
02-15
获取令牌 此工具用于获取令牌Facebook #Am toola bo darheneni tokeni facebook bakar de #Agadar ba nawe文件magora chwnka esh nakat #此用于获取令牌的工具Facebook#请勿更改此工具的名称,但不起作用 ...
flickr-photo-uploader:一种允许任何人将照片上传到特定 flickr 帐户的黑客
06-02
flickr-photo-uploader ... 将此令牌粘贴到 index.php 的“uploadPhoto”函数中,所有进一步的 Flickr API 调用都将有效,任何上传完成的操作都将由公众完成。 如需进一步帮助,请查看 phpFlickr 库中的 README 文件。
回调函数传参c++_C/C++回调函数!学习笔记,你的小本本呢!
weixin_39996908的博客
11-20 1341
对于很多初学者来说,往往觉得回调函数很神秘,很想知道回调函数的工作原理。本文将要解释什么是回调函数、它们有什么好处、为什么要使用它们等等问题,在开始之前,假设你已经熟知了函数指针。 什么是回调函数?简而言之,回调函数就是一个通过函数指针调用的函数。如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用为调用它所指向的函数时,我们就说这是回调函数。为什么要使用回调函数?因为可以把调用者与...
1642_MIT 6.828 shell例程中gettoken函数的实现分析
小灰笔记
03-13 218
现在看代码的过程中能够感觉到越来越顺利了,因为通过一个个函数的分析现在掌握的基本语素积累是越来越多了。同时,几个分支以及雷同的处理让我想到了之前看过的SICP的一些处理理念。前面分析peek的时候已经看过一些类似的处理了,因此这里的这一段代码一看其实哈市很容易理解的。看到这里的eq,结合前面的q基本上就知道这两个参数的作用了。如果不是上面的几个特殊字符,那么默认是把返回值标记为字符a,同时进行另一轮的去空白并且去、|这是哪个字符处理。上面的信息记录结束之后,对于剩余的字符进行了新的去除空白操作处理。
小用lambda函数
weixin_48445640的博客
09-26 642
函数只有一句代码,并且含有一个返回值时可以利用lambda函数 print((lambda a, b = 1: a + b)(1, 2)) 此时输出为3 a和b相当于python函数里的参数
Web全基础学习:暴力破解漏洞之Token伪造
qq_51862722的博客
06-18 2056
Token伪造漏洞:顾名思义通过伪造JWT,以特定账户的身份欺骗系统完成验证。Token伪造是一类漏洞的统称,可以是最简单的弱密钥爆破,也可以是其他高危漏洞,但无论类型如何变化,都是基于Token进行攻击并对其身份认证功能产生威胁。
python接口自动化 一个变量 其他接口要用_python接口自动化-有token的接口项目使用unittest框架设计...
weixin_39976413的博客
11-24 303
在做接口自动化的时候,经常会遇到多个用例需要用同一个参数token,并且这些测试用例跨.py脚本了。一般token只需要获取一次就行了,然后其它使用unittest框架的测试用例全部调用这个参数,那么如何实现呢?虽然python里面有个全局变量global,但这个只是针对于在同一个.py里才有效,跨脚本就不起作用了。解决思路1.首先把公共数据单独抽出来,用一个文件去管理,如yaml文件2.写一个读...
(36.2)【Token漏洞专题】Token的原理、认证过程、爆破过程
04-17 5214
【专题】Token爆破专题
如何防止token伪造、篡改、窃取
m0_69057918的博客
07-05 8829
防止token伪造、篡改、窃取的解决方案
如何通过手机话费余额充值Q
rheostat的专栏
01-25 1万+
如何通过手机话费余额充值Q?   除新疆外,其他支持地区用户可以通过短信方式买Q。   编辑指令内容:Q数量(3位数字)#QQ号码,发送到1065800885656。   例如:QQ号码12345,买5Q,则编辑短信 005#12345 发送到1065800885656;买30Q,则编辑短信 030#12345 发送到1065800885656。   不过我尝试了下此方法,但
Token泄露引发的问题
赵广陆
02-23 1万+
1 如何防止token劫持或者说是泄露? token肯定会存在泄露的问题。比如我拿到你的手机,把你的token拷出来,在过期之前就都可以以你的身份在别的地方登录。 解决这个问题的一个简单办法 在存储的时候把token进行对称加密存储,用时解开。 将请求URL、时间戳、token三者进行合并加盐签名或者缓存用户的ip地址也是不错的选择,服务端校验有效性。 这两种办法的出发点都是:窃取你存储的数据较为容易,而反汇编你的程序hack你的加密解密和签名算法是比较难的。然而其实说难也不难,所以终究是防君子不防小人的做
sql中gettoken函数内容
最新发布
05-31
<think>好的,我现在需要解决用户关于SQL中gettoken函数的问题。用户想了解这个函数的定义、实现、用法和示例。首先,我需要确认是否存在原生的SQLgettoken函数。根据我的知识,标准SQL中没有内置的gettoken函数,这可能是用户所在系统或框架中的自定义函数。接下来,我需要查看用户提供的引用内容,寻找相关线索。引用3和4提到了与Token生成和验证相关的Java代码,特别是TokenController类和幂等性测试接口。这里有一个generateToken方法,可能对应到用户所说的gettoken函数。引用4还解释了幂等性的实现方式,涉及生成Token并存储到Redis中。因此,用户提到的gettoken函数很可能是指这个自定义的generateToken方法,用于生成唯一的Token字符串,确保接口的幂等性。需要向用户说明这是特定于他们系统的实现,并非标准SQL函数。然后,根据引用中的代码,详细解释该函数的定义、实现逻辑、用法以及可能的示例。同时,要注意用户可能混淆了SQL函数和应用程序中的方法,需要澄清两者区别,并确保回答结构清晰,分点说明定义、实现、用法和示例,帮助用户逐步理解。</think>根据引用内容分析,SQL中并没有原生的`gettoken`函数,但您提到的可能是与接口幂等性相关的Token生成方法。以下是基于引用[3][4]的解析: ### 一、getToken函数定义 1. **功能定义**:用于生成全局唯一Token字符串,支持接口幂等性验证 2. **核心参数**:用户标识(如用户ID、设备ID等) 3. **输出格式**:UUID格式字符串,如`d58d7f97-a9d4-4a8f-8e32-15b6d7e3e5c0` ### 二、Java实现示例(引用[3]) ```java // Token生成服务接口 public interface TokenUtilService { String generateToken(String userInfo); } // Redis实现类 @Service public class TokenServiceImpl implements TokenUtilService { @Autowired private RedisTemplate<String, String> redisTemplate; public String generateToken(String userInfo) { // 生成UUID作为Token String token = UUID.randomUUID().toString(); // 存储到Redis并设置过期时间(示例30分钟) redisTemplate.opsForValue().set(token, userInfo, 30, TimeUnit.MINUTES); return token; } } ``` ### 三、SQL相关用法场景 虽然不直接操作数据库,但在SQL系统中可能涉及: ```sql -- 创建Token存储表(引用[4]设计思想) CREATE TABLE api_tokens ( token VARCHAR(36) PRIMARY KEY, user_info VARCHAR(255), created_at DATETIME DEFAULT CURRENT_TIMESTAMP, expires_at DATETIME ); -- Token验证查询(伪代码示例) SELECT user_info FROM api_tokens WHERE token = 'd58d7f97-a9d4-4a8f-8e32-15b6d7e3e5c0' AND expires_at > NOW(); ``` ### 四、幂等性验证流程 1. 客户端请求`/token`接口获取Token 2. 执行SQL操作时携带Token(建议放在Header) 3. 服务端验证流程: ```java boolean validToken(String token, String userInfo) { // Redis验证(引用[3]实现) String storedUser = redisTemplate.opsForValue().get(token); if (storedUser != null && storedUser.equals(userInfo)) { redisTemplate.delete(token); return true; } return false; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值