Sistemkoin是土耳其的一家交易所，在撰写本文时，该交易所在CoinmarketCup上24小时的交易量达到了6800万美元。但是，根据安全研究人员的报道，该交易所存在严重的安全问题。

工单遍历漏洞

如果其他人可以看到您的工单，有些人可能会觉得没什么大不了的。好吧，想象一下如果有人冒充官方人员要求你禁用双因素身份验证。或者，透露私人信息以“验证您的帐户”等的，有许多可以想象的攻击媒介，这些泄露的工单可以被用来获得你的信任。

另外，通过该漏洞我们发现大多数工单都与提币问题有关。

漏洞利用过程只需要Sistemkoin用户将工单号替换为另一个工单号，如下：

先抓包获取访问工单信息的请求包，然后将ticket_id参数更改为你像要看的工单号就行了。

通过这种方式，攻击者能够看到所有工单信息。