编辑：左右里

近日，Salt Labs的研究人员发现了大型金融科技平台Acme Fintech其API中的一个服务器端请求伪造（SSRF）漏洞。研究团队在该平台资金转移功能的网页API中发现了该漏洞，如果该漏洞被利用，攻击者可以通过使用该平台获得对银行系统的管理访问权限来执行各种恶意活动，如泄露用户的个人数据、访问用户的银行详细信息和金融交易、将未经授权的资金转入自己的银行帐户。

Acme Fintech公司为各种规模的银行提供“数字化转型”服务——将传统银行服务转换为在线服务，用户可以将资金在平台与银行之间周转。该平台已集成到许多银行系统中，拥有数百万活跃的日常用户。

研究人员表示，像这样的平台被认为是攻击者滥用API漏洞的主要目标。这主要有两个原因：一是他们的API环境和整体功能非常丰富及复杂，这意味着开发过程很可能存在错误或忽略细节。二是如果非法分子成功攻击该类型的平台，就可以控制数百万用户的银行账户和资金，潜在的利润是巨大的。

研究人员称，如果非法分子发现此漏洞，他们可能会对金融科技公司及其用户造成严重损害。出于商业道德的原因，Salt Labs研究团队没有进行更进一步的研究工作，但他们相信潜在的损害会更大，如允许攻击者操纵用户资金。

Salt Labs研究团队表示，他们已经向该公司报告了这一问题，并已得到解决。但令他们担忧的是，他们的整个攻击过程、研究过程完全没有被银行注意到。这家金融科技公司使用传统的WAF解决方案来保护其站点，不幸的是，这些设备无法检测到API攻击的微妙操作特征。

完整报告链接：

https://salt.security/blog/api-threat-research-server-side-request-forgery-on-fintech-platform-enabled-administrative-account-takeover

资讯来源：salt security

转载请注明出处和本文链接

每日涨知识

网络靶场

主要是指通过虚拟环境与真实设备相结合，模拟仿真出真实赛博网络空间攻防作战环境，能够支撑攻防演练、安全教育、网络空间作战能力研究和网络武器装备验证试验平台。

推荐文章++++

* Block披露其影响820万客户的数据泄露事件

* 美德联合执法拿下世界最大暗网市场

* 周杰伦价值百万元的NFT被盗

* 一年损失24亿美元，FBI“鹰扫行动”抓捕65名电信诈骗嫌疑人

* Lapsus$回归，泄露IT巨头Globant 70GB数据

* 6.25亿美元，再次刷新加密货币盗窃案纪录

* 谷歌揭露两个朝鲜黑客组织的网络攻击活动

﹀

﹀

﹀