目前移動互聯網中,區塊鏈的網站越來越多,在區塊鏈安全上,很多都存在著網站漏洞
,區塊鏈的充值以及提現,會員賬號的存儲性XSS竊取漏洞,賬號安全,等等關於這些區塊鏈
的漏洞,我們eSafe白帽資安網對其進行了整理與總結。
目前整個區塊鏈網站安全市場的需求是蠻大的,很多區塊鏈網站,也叫數字貨幣平台,以及數
字虛擬幣,虛擬錢包,區塊鏈錢包,整體上的區塊鏈網站架構是分5個層,第一層是區塊鏈的
應用層:分發行機制,分配機制。第二層是激勵層,第三層是共識層:POW,第四層是P2P網
絡,區塊鏈傳播機制,安全驗證機制。第五層就是數據層:分區塊數據,鏈式結構,數字簽名,
哈希函數,Merkle樹,非對稱加密。
字虛擬幣,虛擬錢包,區塊鏈錢包,整體上的區塊鏈網站架構是分5個層,第一層是區塊鏈的
應用層:分發行機制,分配機制。第二層是激勵層,第三層是共識層:POW,第四層是P2P網
絡,區塊鏈傳播機制,安全驗證機制。第五層就是數據層:分區塊數據,鏈式結構,數字簽名,
哈希函數,Merkle樹,非對稱加密。
在我們esafe對區塊鏈網站進行安全檢測,與安全滲透的過程中,發現很多網站漏洞,針對於區
塊鏈漏洞我們總結如下:一般出現網站漏洞的地方存在於網站的邏輯漏洞,在會員註冊,會員
登錄,區塊鏈地址管理:像充幣,轉幣,提幣。委託交易,買入賣出(期貨,法幣,以太坊,
比特幣等等)賬戶的密碼安全(修改密碼,手機短信驗證),第三方支付平台(API接口支付)。
在實際安全測試當中,比較容易發現的漏洞如下:
塊鏈漏洞我們總結如下:一般出現網站漏洞的地方存在於網站的邏輯漏洞,在會員註冊,會員
登錄,區塊鏈地址管理:像充幣,轉幣,提幣。委託交易,買入賣出(期貨,法幣,以太坊,
比特幣等等)賬戶的密碼安全(修改密碼,手機短信驗證),第三方支付平台(API接口支付)。
在實際安全測試當中,比較容易發現的漏洞如下:
會員賬號的存儲性跨站漏洞
可以竊取用戶的私密信息,包括賬號的cookies值,利用會員的cookies值,登錄操作會員的幣。
在weixin賬號填入處可以寫入XSS代碼,如下圖所示:
在weixin賬號填入處可以寫入XSS代碼,如下圖所示:
區塊鏈CSRF漏洞
在數字貨幣交易平台裡我們登錄會員賬號,進行幣的買賣,轉幣的操作過程中,可以不用輸入
密碼直接提交轉幣操作,無視密碼。該轉幣的表單並沒有對其做安全防護,導致存在很嚴重的
漏洞,造成的危害也很大,很容易被攻擊者利用。
密碼直接提交轉幣操作,無視密碼。該轉幣的表單並沒有對其做安全防護,導致存在很嚴重的
漏洞,造成的危害也很大,很容易被攻擊者利用。
充幣、提幣漏洞
在區塊鏈平台當中,很多網站並沒有對充幣的表單進行安全過濾,導致可以構造負數,POST
提交到區塊鏈主機中去,充幣提幣的時候可以造成負數,導致幣增加。
提交到區塊鏈主機中去,充幣提幣的時候可以造成負數,導致幣增加。
轉幣地址被惡意篡改
EVM在判斷轉幣地址的時候,沒有過濾尾部的數字0,導致別人對其轉幣操作的時候可能會發現
轉幣地址的變化,攻擊者可以利用該方式對其進行轉幣,風險較大。
轉幣地址的變化,攻擊者可以利用該方式對其進行轉幣,風險較大。
如何修復以上區塊鏈網站漏洞呢?
對提幣,以及充幣,錢包交易,買入,賣出等會員的功能性操作的表單,進行安全過濾,對GET
,POST的提交方式的數據進行嚴格的檢測,對用戶輸入的參數以及輸入值也加強檢查,防止惡意
構造參數提交到主機端。
,POST的提交方式的數據進行嚴格的檢測,對用戶輸入的參數以及輸入值也加強檢查,防止惡意
構造參數提交到主機端。
