2019獨(dú)角獸企業(yè)重金招聘Python工程師標(biāo)準(zhǔn)>>>

目前移動(dòng)互聯(lián)網(wǎng)中，區(qū)塊鏈的網(wǎng)站越來越多，在區(qū)塊鏈安全上，很多都存在著網(wǎng)站漏洞，區(qū)塊鏈的充值，會(huì)員賬號(hào)的存儲(chǔ)性XSS竊取漏洞，賬號(hào)安全，等等關(guān)于這些區(qū)塊鏈的漏洞，我們SINE安全對(duì)其進(jìn)行了整理與總結(jié)。目前整個(gè)區(qū)塊鏈網(wǎng)站安全市場(chǎng)的需求是蠻大的，很多區(qū)塊鏈網(wǎng)站，也叫數(shù)字貨幣平臺(tái)，以及數(shù)字虛擬幣，虛擬錢包，區(qū)塊鏈錢包，整體上的區(qū)塊鏈網(wǎng)站架構(gòu)是分5個(gè)層，第一層是區(qū)塊鏈的應(yīng)用層：分發(fā)行機(jī)制，分配機(jī)制。第二層是激勵(lì)層，第三層是共識(shí)層：POW，第四層是P2P網(wǎng)絡(luò)，區(qū)塊鏈傳播機(jī)制，安全驗(yàn)證機(jī)制。第五層就是數(shù)據(jù)層:分區(qū)塊數(shù)據(jù)，鏈?zhǔn)浇Y(jié)構(gòu)，數(shù)字簽名，哈希函數(shù)，Merkle樹，非對(duì)稱加密。

在我們SINE安全對(duì)區(qū)塊鏈網(wǎng)站進(jìn)行安全檢測(cè)，與安全滲透的過程中，發(fā)現(xiàn)很多網(wǎng)站漏洞，針對(duì)于區(qū)塊鏈漏洞我們總結(jié)如下：一般出現(xiàn)網(wǎng)站漏洞的地方存在于網(wǎng)站的邏輯漏洞，在會(huì)員注冊(cè)，會(huì)員登錄，區(qū)塊鏈地址管理：像充幣，轉(zhuǎn)幣，提幣。委托交易，買入賣出（期貨，法幣，以太坊，比特幣等等）賬戶的密碼安全（修改密碼，手機(jī)短信驗(yàn)證），第三方支付平臺(tái)（API接口支付）。在實(shí)際安全測(cè)試當(dāng)中，比較容易發(fā)現(xiàn)的漏洞如下：

會(huì)員賬號(hào)的存儲(chǔ)性跨站漏洞

區(qū)塊鏈CSRF漏洞

在數(shù)字貨幣交易平臺(tái)里我們登錄會(huì)員賬號(hào)，進(jìn)行幣的買賣，轉(zhuǎn)幣的操作過程中，可以不用輸入密碼直接提交轉(zhuǎn)幣操作，無視密碼。該轉(zhuǎn)幣的表單并沒有對(duì)其做安全防護(hù)，導(dǎo)致存在很嚴(yán)重的漏洞，造成的危害也很大，很容易被攻擊者利用。

充幣、提幣漏洞

在區(qū)塊鏈平臺(tái)當(dāng)中，很多網(wǎng)站并沒有對(duì)充幣的表單進(jìn)行安全過濾，導(dǎo)致可以構(gòu)造負(fù)數(shù)，POST提交到區(qū)塊鏈服務(wù)器中去，充幣提幣的時(shí)候可以造成負(fù)數(shù)，導(dǎo)致幣增加。

轉(zhuǎn)幣地址被惡意篡改

EVM在判斷轉(zhuǎn)幣地址的時(shí)候，沒有過濾尾部的數(shù)字0，導(dǎo)致別人對(duì)其轉(zhuǎn)幣操作的時(shí)候可能會(huì)發(fā)現(xiàn)轉(zhuǎn)幣地址的變化，攻擊者可以利用該方式對(duì)其進(jìn)行轉(zhuǎn)幣，風(fēng)險(xiǎn)較大。

如何修復(fù)以上區(qū)塊鏈網(wǎng)站漏洞呢？

對(duì)提幣，以及充幣，錢包交易，買入，賣出等會(huì)員的功能性操作的表單，進(jìn)行安全過濾，對(duì)GET，POST的提交方式的數(shù)據(jù)進(jìn)行嚴(yán)格的檢測(cè)，對(duì)用戶輸入的參數(shù)以及輸入值也加強(qiáng)檢查，防止惡意構(gòu)造參數(shù)提交到服務(wù)器端。

轉(zhuǎn)載于:https://my.oschina.net/u/3887295/blog/1919573

總結(jié)

以上是生活随笔為你收集整理的网站漏洞检测针对区块链网站安全分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。