上QQ阅读APP看书,第一时间看更新
2.7 信息泄露
信息泄露对于存有大量用户KYC信息的交易所来说影响深远,是非常严重的安全问题。经过大量测试工作后,我们发现,信息泄露问题一般集中于忘记交易所密码、OTC中的查看商家信息以及查看订单、邀请列表和网站源代码等。造成信息泄露的主要原因一般是服务器响应包内容没有经过处理就将用户的所有信息返回,恶意用户可以配合越权漏洞来批量获取敏感信息。除此以外,网站源代码中还存在各种存有敏感信息的注释,这些注释在进入生产环境前应被删除。
信息泄露对于存有大量用户KYC信息的交易所来说影响深远,是非常严重的安全问题。经过大量测试工作后,我们发现,信息泄露问题一般集中于忘记交易所密码、OTC中的查看商家信息以及查看订单、邀请列表和网站源代码等。造成信息泄露的主要原因一般是服务器响应包内容没有经过处理就将用户的所有信息返回,恶意用户可以配合越权漏洞来批量获取敏感信息。除此以外,网站源代码中还存在各种存有敏感信息的注释,这些注释在进入生产环境前应被删除。