2019独角兽企业重金招聘Python工程师标准>>>

目前移动互联网中,区块链的网站越来越多,在区块链安全上,很多都存在着网站漏洞,区块链的充值,会员账号的存储性XSS窃取漏洞,账号安全,等等关于这些区块链的漏洞,我们SINE安全对其进行了整理与总结。目前整个区块链网站安全市场的需求是蛮大的,很多区块链网站,也叫数字货币平台,以及数字虚拟币,虚拟钱包,区块链钱包,整体上的区块链网站架构是分5个层,第一层是区块链的应用层:分发行机制,分配机制。第二层是激励层,第三层是共识层:POW,第四层是P2P网络,区块链传播机制,安全验证机制。第五层就是数据层:分区块数据,链式结构,数字签名,哈希函数,Merkle树,非对称加密。

在我们SINE安全对区块链网站进行安全检测,与安全渗透的过程中,发现很多网站漏洞,针对于区块链漏洞我们总结如下:一般出现网站漏洞的地方存在于网站的逻辑漏洞,在会员注册,会员登录,区块链地址管理:像充币,转币,提币。委托交易,买入卖出(期货,法币,以太坊,比特币等等)账户的密码安全(修改密码,手机短信验证),第三方支付平台(API接口支付)。在实际安全测试当中,比较容易发现的漏洞如下:

会员账号的存储性跨站漏洞

区块链CSRF漏洞

在数字货币交易平台里我们登录会员账号,进行币的买卖,转币的操作过程中,可以不用输入密码直接提交转币操作,无视密码。该转币的表单并没有对其做安全防护,导致存在很严重的漏洞,造成的危害也很大,很容易被攻击者利用。

充币、提币漏洞

在区块链平台当中,很多网站并没有对充币的表单进行安全过滤,导致可以构造负数,POST提交到区块链服务器中去,充币提币的时候可以造成负数,导致币增加。

转币地址被恶意篡改

EVM在判断转币地址的时候,没有过滤尾部的数字0,导致别人对其转币操作的时候可能会发现转币地址的变化,攻击者可以利用该方式对其进行转币,风险较大。

如何修复以上区块链网站漏洞呢?

对提币,以及充币,钱包交易,买入,卖出等会员的功能性操作的表单,进行安全过滤,对GET,POST的提交方式的数据进行严格的检测,对用户输入的参数以及输入值也加强检查,防止恶意构造参数提交到服务器端。

转载于:https://my.oschina.net/u/3887295/blog/1919573

网站漏洞检测针对区块链网站安全分析相关推荐

  1. OpenAI升级Codex,直接将书面语言转为计算机代码;区块链网站被黑客偷走6亿美元加密货币|极客头条...

    「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 整理 | 孙胜 出品 | CSDN(ID:CSDNnews) ...

  2. 网站漏洞检测及解决办法

    很多网站可能或多或少存在下面几个漏洞: SQL注入漏洞 跨站脚本攻击漏洞 登陆后台管理页面 IIS短文件/文件夹漏洞 系统敏感信息泄露 下面说下网站漏洞检测的步骤及内容方法: 这些安全性测试,据了解一 ...

  3. 网站漏洞检测之Discuz论坛 3.4版本

    2019独角兽企业重金招聘Python工程师标准>>> Discuz!论坛目前最新版本为3.4版本,已经好久没有更新了,我们SINE安全在对其网站安全检测的同时发现一处漏洞,该漏洞可 ...

  4. 网站安全检测 针对于手机短信轰炸漏洞的检测与修复办法

    很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网 ...

  5. php网站漏洞检测对sql注入漏洞防护

    近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...

  6. 网站漏洞检测之常见安全问题

    我们SINE安全在进行Web渗透测试中网站漏洞利用率最高的前五个漏洞.常见漏洞包括注入漏洞.文件上传漏洞.文件包含漏洞.命令执行漏洞.代码执行漏洞.跨站点脚本(XSS)漏洞.SSRF漏洞.XML外部实 ...

  7. php网站漏洞检测对sql注入漏洞防护 1

    近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...

  8. 360 网站漏洞检测

    1.漏洞检测地址 http://webscan.360.cn/# 2.网站服务监控 http://jk.cloud.360.cn/

  9. APP渗透测试 网站漏洞检测以及如何防止攻击

    很多公司都有着自己的APP,包括安卓端以及ios端都有属于自己的APP应用,随着互联网的快速发展,APP安全也影响着整个公司的业务发展,前段时间有客户的APP被攻击,数据被篡改,支付地址也被修改成攻击 ...

最新文章

  1. 工具箱支持汽车质量人工智能
  2. 引入css的四种方式
  3. ext4 文件系统的优化
  4. 索引键的唯一性(2/4):唯一与非唯一聚集索引
  5. qt5 linux 控制台 乱码,qt5.12 解决显示中文乱码问题
  6. pythonui自动化测试脚本实战_Python UI自动化测试实战 Zero to Hero Se
  7. java runnable 使用_java – 在哪里使用可调用以及在哪里使用Runnable接口?
  8. 基于文本和语音的双模态情感分析
  9. win10如何修改鼠标指针样式
  10. 快速远程访问内网的摄像头【内网穿透】
  11. 泰国计算机专业大学排名,清迈大学在泰国的排名
  12. IDEA GoLand 问题 Contents have differences only in line separators
  13. python能够设置标签背景色的属性是_Python Pmw EntryField背景色属性
  14. Tensorflow中的各种梯度处理gradient
  15. hadoop心跳机制解析
  16. [B站视频]Python爬虫技术5天速成
  17. 【bzoj 2844】: albus就是要第一个出场
  18. 计算机组成原理中J1J3是什么,计算机组成原理第一次实验报告
  19. UDK 中的委托使用
  20. 第四章第十二题(十六进制转二进制)(Hex to binary)

热门文章

  1. 安卓log.e函数打印示例_log1p()函数以及C ++中的示例
  2. kotlin键值对数组_Kotlin程序以升序对数组进行排序
  3. linux java uml_简单实用UML关系图解
  4. 进程控制 (二) Others
  5. 2018南京区域赛 J-Prime Game
  6. 利用多线程实现linux下C语言的聊天室程序:
  7. Linux的SOCKET编程 简单演示
  8. 使用mmap实现大文件的复制:单进程与多进程情况
  9. 【Leetcode | 02】二叉树、线性表目录
  10. 阿里P8亲自讲解!java声明类的语法格式