2019独角兽企业重金招聘Python工程师标准>>>

目前移动互联网中,区块链的网站越来越多,在区块链安全上,很多都存在着网站漏洞,区块链的充值,会员账号的存储性XSS窃取漏洞,账号安全,等等关于这些区块链的漏洞,我们SINE安全对其进行了整理与总结。目前整个区块链网站安全市场的需求是蛮大的,很多区块链网站,也叫数字货币平台,以及数字虚拟币,虚拟钱包,区块链钱包,整体上的区块链网站架构是分5个层,第一层是区块链的应用层:分发行机制,分配机制。第二层是激励层,第三层是共识层:POW,第四层是P2P网络,区块链传播机制,安全验证机制。第五层就是数据层:分区块数据,链式结构,数字签名,哈希函数,Merkle树,非对称加密。

在我们SINE安全对区块链网站进行安全检测,与安全渗透的过程中,发现很多网站漏洞,针对于区块链漏洞我们总结如下:一般出现网站漏洞的地方存在于网站的逻辑漏洞,在会员注册,会员登录,区块链地址管理:像充币,转币,提币。委托交易,买入卖出(期货,法币,以太坊,比特币等等)账户的密码安全(修改密码,手机短信验证),第三方支付平台(API接口支付)。在实际安全测试当中,比较容易发现的漏洞如下:

会员账号的存储性跨站漏洞

区块链CSRF漏洞

在数字货币交易平台里我们登录会员账号,进行币的买卖,转币的操作过程中,可以不用输入密码直接提交转币操作,无视密码。该转币的表单并没有对其做安全防护,导致存在很严重的漏洞,造成的危害也很大,很容易被攻击者利用。

充币、提币漏洞

在区块链平台当中,很多网站并没有对充币的表单进行安全过滤,导致可以构造负数,POST提交到区块链服务器中去,充币提币的时候可以造成负数,导致币增加。

转币地址被恶意篡改

EVM在判断转币地址的时候,没有过滤尾部的数字0,导致别人对其转币操作的时候可能会发现转币地址的变化,攻击者可以利用该方式对其进行转币,风险较大。

如何修复以上区块链网站漏洞呢?

对提币,以及充币,钱包交易,买入,卖出等会员的功能性操作的表单,进行安全过滤,对GET,POST的提交方式的数据进行严格的检测,对用户输入的参数以及输入值也加强检查,防止恶意构造参数提交到服务器端。

转载于:https://my.oschina.net/u/3887295/blog/1919573

网站漏洞检测针对区块链网站安全分析相关推荐

  1. OpenAI升级Codex,直接将书面语言转为计算机代码;区块链网站被黑客偷走6亿美元加密货币|极客头条...

    「极客头条」-- 技术人员的新闻圈! CSDN 的读者朋友们早上好哇,「极客头条」来啦,快来看今天都有哪些值得我们技术人关注的重要新闻吧. 整理 | 孙胜 出品 | CSDN(ID:CSDNnews) ...

  2. 网站漏洞检测及解决办法

    很多网站可能或多或少存在下面几个漏洞: SQL注入漏洞 跨站脚本攻击漏洞 登陆后台管理页面 IIS短文件/文件夹漏洞 系统敏感信息泄露 下面说下网站漏洞检测的步骤及内容方法: 这些安全性测试,据了解一 ...

  3. 网站漏洞检测之Discuz论坛 3.4版本

    2019独角兽企业重金招聘Python工程师标准>>> Discuz!论坛目前最新版本为3.4版本,已经好久没有更新了,我们SINE安全在对其网站安全检测的同时发现一处漏洞,该漏洞可 ...

  4. 网站安全检测 针对于手机短信轰炸漏洞的检测与修复办法

    很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网 ...

  5. php网站漏洞检测对sql注入漏洞防护

    近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...

  6. 网站漏洞检测之常见安全问题

    我们SINE安全在进行Web渗透测试中网站漏洞利用率最高的前五个漏洞.常见漏洞包括注入漏洞.文件上传漏洞.文件包含漏洞.命令执行漏洞.代码执行漏洞.跨站点脚本(XSS)漏洞.SSRF漏洞.XML外部实 ...

  7. php网站漏洞检测对sql注入漏洞防护 1

    近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...

  8. 360 网站漏洞检测

    1.漏洞检测地址 http://webscan.360.cn/# 2.网站服务监控 http://jk.cloud.360.cn/

  9. APP渗透测试 网站漏洞检测以及如何防止攻击

    很多公司都有着自己的APP,包括安卓端以及ios端都有属于自己的APP应用,随着互联网的快速发展,APP安全也影响着整个公司的业务发展,前段时间有客户的APP被攻击,数据被篡改,支付地址也被修改成攻击 ...

最新文章

  1. 计算机艺术未来发展趋势,计算机技术对现代艺术设计的影响
  2. github下载速度慢解决方法
  3. OpenCV下的灰度直方图生成及显示的源码,带详细注释
  4. 离线轻量级大数据平台Spark之MLib机器学习库Word2Vec实例
  5. 话说Svn与Git的区别
  6. Integer缓存池
  7. 面试又栽在JVM调优上了!
  8. 分布式定时器的实现原理
  9. python coding style why_Python 编码规范(Style Guide)2
  10. php网页输入框,php网页的输入框显示中文异常
  11. 一路走来一路歌—我和团队有个约会
  12. 解决vue中axios同步的问题
  13. python魔法方法-比较相关
  14. baacloud苹果_baacloud官网下载
  15. 对计算机组装和维护课的总结,计算机组装维护教学工作总结
  16. 第十代晨风机器人,第十代机器人说明(软件+群主+成员使用说明)
  17. 微信公众号服务器配置
  18. FPGA零基础学习之旅#1 AC620V2开发板测试
  19. WPF做的金山词霸页面
  20. 培训班出来的程序员怎么就不行了?

热门文章

  1. math.sqrt 有问题_JavaScript中带有示例的Math.sqrt()方法
  2. asinh函数_JavaScript中带有示例的Math.asinh()方法
  3. 关键字驱动测试示例_带有示例的False关键字
  4. 树存储结构(代码、分析、汇编)
  5. go语言 函数相关1:实参到形参的传递永远是值拷贝
  6. 【c】【报错解决】incompatible implicit declaration
  7. 不可靠的信号、可靠信号
  8. Java面试题!centos安装yum
  9. 51Nod 1043 幸运号码
  10. 七、 面向对象(二)