李晓丽

区块链的安全需求越来越多,区块链安全需求到底是个什么样子?

李晓丽 区块链 2018-07-28 浏览

  0 x01 拆分

  目前针对安全服务行业的区块链安全需求,更多的是基于其上层应用(红色箭头指向)比如数字货币交易平台、移动数字货币钱包、DAPP等

区块链的安全需求越来越多,区块链安全需求到底是个什么样子?

  在实际测试中也是按照这几类进行的划分,下面我会针对这几类常见的区块链应用说明其使用过程中存在的风险,如何避免风险,以及一些实际操作过程中的案例。

  0 x02 金融新战场-数字货币交易所

  数字货币交易所,常见火币,OKcoin,币安,都是我们这些韭菜挣(pei)钱(guang)的好去处。对于这类平台就按照平时对Web站点的渗透思路进行挖掘就行,但是有一点千万记住,别上来就扫描器,Sqlmap,御剑什么的,否则今天的活也就别干了。根据测试经验,这种费力不讨好的活就放在最后,上来可以先选择逻辑进行测试,因为数字货币平台的逻辑来来回回就那么几样:注册、登录、地址管理(充币、提币、交易)、委托交易查询、买入卖出(法币、币币、杠杆和期货)、账号安全(密码修改、谷歌验证、手机和邮箱验证)、买家身份实名认证、场外交易时使用的支付宝、微信和银行卡的地址和二维码等、以及多平台快速交易使用的API接口管理等。

  从功能上其实并不复杂,功能与功能之间的业务关联性也是显而易见:

  注册->实名认证->手机/邮箱/谷歌验证码->法币交易获取代币->币币交易/杠杆交易->提币到其他地址

  这里给出两个案例

  案例一:收款账户处的存储型X SS

  在微信账号,支付宝账号处可插入恶意脚本,恶意脚本随交易广告下发

区块链的安全需求越来越多,区块链安全需求到底是个什么样子?

  当用户与恶意广告用户进行交易时,需要显示账户信息,此时触发该XSS

  此处的XSS影响比较大,可以get到其他与攻击者进行交易的身份认证信息。

  案例二:无密买入卖出功能的C SRF 漏洞

  进入某币交易模块,设置交易措施为每次交易不输入密码

区块链的安全需求越来越多,区块链安全需求到底是个什么样子?

  构