研究人员发现潜在影响数百万人的银行平台存在重大缺陷

一个网络安全研究团队在一个已在大量银行系统中实施的金融服务平台中发现了一个重大漏洞。

Salt Labs 的团队在金融平台使用的 API 中发现了一个重大缺陷。该漏洞利用是服务器端请求伪造或 SSRF。如果该漏洞被成功利用，该漏洞可能会导致潜在的灾难，从而使威胁行为者能够耗尽数百万用户的银行账户。

漏洞可能允许黑客管理员访问

该漏洞是在一个页面中发现的，该页面包含允许金融服务平台的客户将资金从他们的平台钱包转移到他们的银行账户的功能。

拥有和控制金融服务平台的公司没有被命名，但被描述为提供允许银行从传统银行转向在线银行的服务。据 Salt Labs 的研究团队称，目前有数百万人在使用该平台。

发现的问题非常重要，足以让潜在的威胁参与者管理员访问选择实施相关平台的银行。一旦获得如此高级别的特权访问，天空就是极限。黑客可能以多种方式滥用这一点，从耗尽客户帐户到窃取他们的个人身份信息和访问有关过去交易的信息。

该漏洞是在研究人员监控这家未命名公司网站的流量时发现的。在那里，他们拦截了浏览器调用的 API 中的一个错误，以处理请求。

缺陷根源的错误参数处理

该漏洞允许在页面的参数中插入代码，然后让 API 联系新的任意域 URL，而不是使用该平台的银行机构提供的 URL。

作为漏洞的证明，Salt Labs 篡改了一个错误的请求，将银行机构的域替换为他们自己的域，然后在他们端接收连接。简而言之，这证明了服务器从不检查域字符串并“信任”它在机构 URL 参数中接收到的任何内容，从而允许篡改。

根据研究团队的说法，API 中的缺陷和漏洞通常被忽视，尽管它们在大量使用的 API 中可能很丰富。