2019獨角獸企業重金招聘Python工程師標準>>>

目前移動互聯網中，區塊鏈的網站越來越多，在區塊鏈安全上，很多都存在著網站漏洞，區塊鏈的充值，會員賬號的存儲性XSS竊取漏洞，賬號安全，等等關于這些區塊鏈的漏洞，我們SINE安全對其進行了整理與總結。目前整個區塊鏈網站安全市場的需求是蠻大的，很多區塊鏈網站，也叫數字貨幣平臺，以及數字虛擬幣，虛擬錢包，區塊鏈錢包，整體上的區塊鏈網站架構是分5個層，第一層是區塊鏈的應用層：分發行機制，分配機制。第二層是激勵層，第三層是共識層：POW，第四層是P2P網絡，區塊鏈傳播機制，安全驗證機制。第五層就是數據層:分區塊數據，鏈式結構，數字簽名，哈希函數，Merkle樹，非對稱加密。

在我們SINE安全對區塊鏈網站進行安全檢測，與安全滲透的過程中，發現很多網站漏洞，針對于區塊鏈漏洞我們總結如下：一般出現網站漏洞的地方存在于網站的邏輯漏洞，在會員注冊，會員登錄，區塊鏈地址管理：像充幣，轉幣，提幣。委托交易，買入賣出（期貨，法幣，以太坊，比特幣等等）賬戶的密碼安全（修改密碼，手機短信驗證），第三方支付平臺（API接口支付）。在實際安全測試當中，比較容易發現的漏洞如下：

會員賬號的存儲性跨站漏洞

區塊鏈CSRF漏洞

在數字貨幣交易平臺里我們登錄會員賬號，進行幣的買賣，轉幣的操作過程中，可以不用輸入密碼直接提交轉幣操作，無視密碼。該轉幣的表單并沒有對其做安全防護，導致存在很嚴重的漏洞，造成的危害也很大，很容易被攻擊者利用。

充幣、提幣漏洞

在區塊鏈平臺當中，很多網站并沒有對充幣的表單進行安全過濾，導致可以構造負數，POST提交到區塊鏈服務器中去，充幣提幣的時候可以造成負數，導致幣增加。

轉幣地址被惡意篡改

EVM在判斷轉幣地址的時候，沒有過濾尾部的數字0，導致別人對其轉幣操作的時候可能會發現轉幣地址的變化，攻擊者可以利用該方式對其進行轉幣，風險較大。

如何修復以上區塊鏈網站漏洞呢？

對提幣，以及充幣，錢包交易，買入，賣出等會員的功能性操作的表單，進行安全過濾，對GET，POST的提交方式的數據進行嚴格的檢測，對用戶輸入的參數以及輸入值也加強檢查，防止惡意構造參數提交到服務器端。

轉載于:https://my.oschina.net/u/3887295/blog/1919573

總結

以上是生活随笔為你收集整理的网站漏洞检测针对区块链网站安全分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。