欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

区块链安全技术总结

来源:本站整理 作者:佚名 时间:2018-07-28 TAG: 我要投稿

区块链的安全需求越来越多,下面就将这些需求一一拆分,看看区块链安全需求到底是个什么样子。
0x01 拆分
目前针对安全服务行业的区块链安全需求,更多的是基于其上层应用(红色箭头指向)比如数字货币交易平台、移动数字货币钱包、DAPP等

在实际测试中也是按照这几类进行的划分,下面我会针对这几类常见的区块链应用说明其使用过程中存在的风险,如何避免风险,以及一些实际操作过程中的案例。
0x02 金融新战场-数字货币交易所
数字货币交易所,常见火币,OKcoin,币安,都是我们这些韭菜挣(pei)钱(guang)的好去处。对于这类平台就按照平时对Web站点的渗透思路进行挖掘就行,但是有一点千万记住,别上来就扫描器,Sqlmap,御剑什么的,否则今天的活也就别干了。根据测试经验,这种费力不讨好的活就放在最后,上来可以先选择逻辑进行测试,因为数字货币平台的逻辑来来回回就那么几样:注册、登录、地址管理(充币、提币、交易)、委托交易查询、买入卖出(法币、币币、杠杆和期货)、账号安全(密码修改、谷歌验证、手机和邮箱验证)、买家身份实名认证、场外交易时使用的支付宝、微信和银行卡的地址和二维码等、以及多平台快速交易使用的API接口管理等。
从功能上其实并不复杂,功能与功能之间的业务关联性也是显而易见:
注册->实名认证->手机/邮箱/谷歌验证码->法币交易获取代币->币币交易/杠杆交易->提币到其他地址
这里给出两个案例
案例一:收款账户处的存储型XSS
在微信账号,支付宝账号处可插入恶意脚本,恶意脚本随交易广告下发

当用户与恶意广告用户进行交易时,需要显示账户信息,此时触发该XSS

此处的XSS影响比较大,可以get到其他与攻击者进行交易的身份认证信息。
案例二:无密买入卖出功能的CSRF漏洞
进入某币交易模块,设置交易措施为每次交易不输入密码

构造CSRF表单并生成伪造交易请求的表单,因挂单交易是自动确认,所以存在极大风险,易被恶意攻击进行交易操作。

当用户访问并点击时,表单内容提交给交易网站,买入卖出操作成功

0x03 放在兜里的记账本-移动数字货币钱包
钱包从早期的PC端全节点钱包(体积大又不能携带)到现在到小而轻的移动钱包(就是APP了),将个人数字资产的管理做到更快截和方便。如图,移动钱包可以用于资产的查看,转账,地址管理等不需要全节点参于的功能。

重点关注以下四个方面:
私钥生成与存储的安全
助记词生成与存储的安全
Keystore生成与存储的安全
和钱包口令生成与存储的安全
针对四个方面,可以总结出多个渗透维度
密钥保存维度:私钥是否明文存储本地,keystore是否明文存储本地、助记词是否明文存储本地
钱包备份:私钥导出过程安全(检查私钥导出过程是否阻止屏幕劫持,是否保存在日志当中或临时文件当中)
keystore 导出过程安全:检查keystore导出过程是否阻止屏幕劫持,是否保存在日志当中或临时文件当中)
转账过程:转账数据的机密性和完整性
0x04 区块链应用新宠-DAPP
DAPP-分布式应用:基于不同的底层区块链开发平台和共识机制。现在绝大多数都是在以太坊(Ethereum),比如各种加密游戏,分布式宠物 ,百度的莱茨狗,网易 的网易星球,360的区块猫 ,小米的区块链游戏加密兔等等。
这里给出一个区块链养猫例子。
案例一:
全美最火的区块链宠物,价格也不贵,0.0019 ETH 大概6块左右

这个DAPP与传统的Web或者页游最大的区别就是其去中心化的结构,除了浏览器和服务器外,所有的交换操作都写入到了以太坊中的多个智能合约当中,对操作过程和结果进行安全的记录。
对这类DAPP进行渗透的时候需要考虑到整个DAPP的身份认证机制是基于密码学中的 公钥认证机制(私钥签名,公钥验签),那么后端服务器是否能够正确的安全的验证签名后的信息就是很关键的点,比如下图中的请求(这是一个DAPP和以太坊地址绑定的过程),sign是对以太坊地址的签名,服务器处理请求时如果未对请求中的sign进行安全校验,那么M ITM手段可以伪造以太坊地址进行恶意绑定,同时如果未对溢出进行防御,比如 AAAA*10000… 也会发生拒绝服务的问题。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载