网站漏洞检测针对区块链网站安全分析

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

目前移动互联网中,区块链的网站越来越多,在区块链安全上,很多都存在着网站漏洞,区块链的充值,会员账号的存储性XSS窃取漏洞,账号安全,等等关于这些区块链的漏洞,我们SINE安全对其进行了整理与总结。目前整个区块链网站安全市场的需求是蛮大的,很多区块链网站,也叫数字货币平台,以及数字虚拟币,虚拟钱包,区块链钱包,整体上的区块链网站架构是分5个层,第一层是区块链的应用层:分发行机制,分配机制。第二层是激励层,第三层是共识层:POW,第四层是P2P网络,区块链传播机制,安全验证机制。第五层就是数据层:分区块数据,链式结构,数字签名,哈希函数,Merkle树,非对称加密。

在我们SINE安全对区块链网站进行安全检测,与安全渗透的过程中,发现很多网站漏洞,针对于区块链漏洞我们总结如下:一般出现网站漏洞的地方存在于网站的逻辑漏洞,在会员注册,会员登录,区块链地址管理:像充币,转币,提币。委托交易,买入卖出(期货,法币,以太坊,比特币等等)账户的密码安全(修改密码,手机短信验证),第三方支付平台(API接口支付)。在实际安全测试当中,比较容易发现的漏洞如下:

会员账号的存储性跨站漏洞

cba602e9914e476e9fc3e7514e00f5b4.png

区块链CSRF漏洞

在数字货币交易平台里我们登录会员账号,进行币的买卖,转币的操作过程中,可以不用输入密码直接提交转币操作,无视密码。该转币的表单并没有对其做安全防护,导致存在很严重的漏洞,造成的危害也很大,很容易被攻击者利用。

1a5fb64fbeb14e70b9b216353d9fbf81.png

充币、提币漏洞

在区块链平台当中,很多网站并没有对充币的表单进行安全过滤,导致可以构造负数,POST提交到区块链服务器中去,充币提币的时候可以造成负数,导致币增加。

954a7789133d4a16bd32822602de1015.png

转币地址被恶意篡改

EVM在判断转币地址的时候,没有过滤尾部的数字0,导致别人对其转币操作的时候可能会发现转币地址的变化,攻击者可以利用该方式对其进行转币,风险较大。

如何修复以上区块链网站漏洞呢?

对提币,以及充币,钱包交易,买入,卖出等会员的功能性操作的表单,进行安全过滤,对GET,POST的提交方式的数据进行严格的检测,对用户输入的参数以及输入值也加强检查,防止恶意构造参数提交到服务器端。

转载于:https://my.oschina.net/u/3887295/blog/1919573

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/390024.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

223. 矩形面积

223. 矩形面积 给你 二维 平面上两个 由直线构成的 矩形,请你计算并返回两个矩形覆盖的总面积。 每个矩形由其 左下 顶点和 右上 顶点坐标表示: 第一个矩形由其左下顶点 (ax1, ay1) 和右上顶点 (ax2, ay2) 定义。 第二个矩形由其左下顶点 (bx1, by1) …

微观计量经济学_微观经济学与数据科学

微观计量经济学什么是经济学和微观经济学? (What are Economics and Microeconomics?) Economics is a social science concerned with the production, distribution, and consumption of goods and services. It studies how individuals, businesses, governmen…

NPM 重新回炉

官方教程传送门( 英文 ) 本文主要是官方文章的精炼,适合想了解一些常用操作的同学们 NPM 是 基于node的一个包管理工具 , 安装node环境时会自带安装NPM. NPM版本管理 查看现有版本 npm -v 安装最新的稳定版本 npm install npmlatest -g 安装最新的测试版本 npm install npmn…

1436. 旅行终点站

1436. 旅行终点站 给你一份旅游线路图,该线路图中的旅行线路用数组 paths 表示,其中 paths[i] [cityAi, cityBi] 表示该线路将会从 cityAi 直接前往 cityBi 。请你找出这次旅行的终点站,即没有任何可以通往其他城市的线路的城市。 题目数据…

如何使用fio模拟线上环境

线上表现 这里我想通过fio来模拟线上的IO场景,那么如何模拟呢? 首先使用iostat看线上某个盘的 使用情况,这里我们需要关注的是 avgrq-sz, avgrq-qz. #iostat -dx 1 1000 /dev/sdk Device: rrqm/s wrqm/s r/s w/s rkB/s …

熊猫数据集_熊猫迈向数据科学的第二部分

熊猫数据集If you haven’t read the first article then it is advised that you go through that before continuing with this article. You can find that article here. So far we have learned how to access data in different ways. Now we will learn how to analyze …

Python基础综合练习

Pycharm开发环境设置与熟悉。 练习基本输入输出&#xff1a; print(你好,{}..format(name)) print(sys.argv) 库的使用方法&#xff1a; import ... from ... import ... 条件语句&#xff1a; if (abs(pos()))<1: break 循环语句&#xff1a; for i in range(5): while Tru…

POJ 3608 旋转卡壳

思路&#xff1a; 旋转卡壳应用 注意点&边 边&边 点&点 三种情况 //By SiriusRen #include <cmath> #include <cstdio> #include <algorithm> using namespace std; const double eps1e-5; const int N10050; typedef double db; int n,m; str…

405. 数字转换为十六进制数

405. 数字转换为十六进制数 给定一个整数&#xff0c;编写一个算法将这个数转换为十六进制数。对于负整数&#xff0c;我们通常使用 补码运算 方法。 注意: 十六进制中所有字母(a-f)都必须是小写。 十六进制字符串中不能包含多余的前导零。如果要转化的数为0&#xff0c;那么…

为什么我要重新开始数据科学

I’m feeling stuck.我感觉卡住了。 In my current work and in the content I create (videos and blog posts), I feel like I’ve begun to stall out. Most of the consumers of my content are at the start of their data science journey. The longer I’m in the fiel…

蓝牙协议 HFP,HSP,A2DP,A2DP_CT,A2DP_TG,AVRCP,OPP,PBAP,SPP,FTP,TP,DTMF,DUN,SDP

简介&#xff1a; HSP&#xff08;手机规格&#xff09;– 提供手机&#xff08;移动电话&#xff09;与耳机之间通信所需的基本功能。 HFP&#xff08;免提规格&#xff09;– 在 HSP 的基础上增加了某些扩展功能&#xff0c;原来只用于从固定车载免提装置来控制移动电话。 A2…

482. 密钥格式化

482. 密钥格式化 有一个密钥字符串 S &#xff0c;只包含字母&#xff0c;数字以及 ‘-’&#xff08;破折号&#xff09;。其中&#xff0c; N 个 ‘-’ 将字符串分成了 N1 组。 给你一个数字 K&#xff0c;请你重新格式化字符串&#xff0c;使每个分组恰好包含 K 个字符。特…

安装mariadb、安装Apache

2019独角兽企业重金招聘Python工程师标准>>> 安装mariadb 安装mariadb的步骤与安装mysql的一样 下载二进制源码包 再用tar 解压&#xff0c;创建/data/mariadb目录和用户 初始化 编译启动脚本 启动 安装Apache Apache是软件基金会的名字&#xff0c;软件的名字叫htt…

数据科学的发展_数据科学的发展与发展

数据科学的发展There’s perhaps nothing that sets the 21st century apart from others more than the concept of data. Every interaction we have with a connected device creates a data record, and beams it back to some data store for tracking and analysis. Inte…

Polling 、Long Polling 和 WebSocket

最近在学习研究WebSocket,了解到Polling 和Long Polling,翻阅了一些博文&#xff0c;根据自己的理解&#xff0c;做个学习笔记 Polling &#xff08;轮询&#xff09;&#xff1a; 这种方式就是客户端定时向服务器发送http的Get请求&#xff0c;服务器收到请求后&#xff0c;就…

惯性张量的推理_选择合适的intel工作站处理器进行张量流推理和开发

惯性张量的推理With the increasing number of data scientists using TensorFlow, it might be a good time to discuss which workstation processor to choose from Intel’s lineup. You have several options to choose from:随着使用TensorFlow的数据科学家数量的增加&am…

MongoDB数据库查询性能提高40倍

MongoDB数据库查询性能提高40倍 大家在使用 MongoDB 的时候有没有碰到过性能问题呢&#xff1f;下面这篇文章主要给大家分享了MongoDB数据库查询性能提高40倍的经历&#xff0c;需要的朋友可以参考借鉴&#xff0c;下面来一起看看吧。 前言 数据库性能对软件整体性能有着至关重…

通过Ajax方式上传文件(input file),使用FormData进行Ajax请求

<script type"text/jscript">$(function () {$("#btn_uploadimg").click(function () {var fileObj document.getElementById("FileUpload").files[0]; // js 获取文件对象if (typeof (fileObj) "undefined" || fileObj.size …

并发插入数据库会导致失败吗_会导致业务失败的数据分析方法

并发插入数据库会导致失败吗The true value of data depends on business insight.Data analysis is one of the most powerful resources an enterprise has. However, if the tools and processes used are not friendly and widely available to the business users who nee…

434. 字符串中的单词数

434. 字符串中的单词数 统计字符串中的单词个数&#xff0c;这里的单词指的是连续的不是空格的字符。 请注意&#xff0c;你可以假定字符串里不包括任何不可打印的字符。 示例: 输入: “Hello, my name is John” 输出: 5 解释: 这里的单词是指连续的不是空格的字符&#x…