研究人員發現潛在影響數百萬人的銀行平台存在重大缺陷

一個網絡安全研究團隊在一個已在大量銀行系統中實施的金融服務平台中發現了一個重大漏洞。

Salt Labs 的團隊在金融平台使用的 API 中發現了一個重大缺陷。該漏洞利用是服務器端請求偽造或 SSRF。如果該漏洞被成功利用，該漏洞可能會導致潛在的災難，從而使威脅行為者能夠耗盡數百萬用戶的銀行賬戶。

漏洞可能允許黑客管理員訪問

該漏洞是在一個頁面中發現的，該頁麵包含允許金融服務平台的客戶將資金從他們的平台錢包轉移到他們的銀行賬戶的功能。

擁有和控制金融服務平台的公司沒有被命名，但被描述為提供允許銀行從傳統銀行轉向在線銀行的服務。據 Salt Labs 的研究團隊稱，目前有數百萬人在使用該平台。

發現的問題非常重要，足以讓潛在的威脅參與者管理員訪問選擇實施相關平台的銀行。一旦獲得如此高級別的特權訪問，天空就是極限。黑客可能以多種方式濫用這一點，從耗盡客戶帳戶到竊取他們的個人身份信息和訪問有關過去交易的信息。

該漏洞是在研究人員監控這家未命名公司網站的流量時發現的。在那裡，他們攔截了瀏覽器調用的 API 中的一個錯誤，以處理請求。

缺陷根源的錯誤參數處理

該漏洞允許在頁面的參數中插入代碼，然後讓 API 聯繫新的任意域 URL，而不是使用該平台的銀行機構提供的 URL。

作為漏洞的證明，Salt Labs 篡改了一個錯誤的請求，將銀行機構的域替換為他們自己的域，然後在他們端接收連接。簡而言之，這證明了服務器從不檢查域字符串並“信任”它在機構 URL 參數中接收到的任何內容，從而允許篡改。

根據研究團隊的說法，API 中的缺陷和漏洞通常被忽視，儘管它們在大量使用的 API 中可能很豐富。