eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

區塊鏈網站漏洞檢測詳情

   

          目前移動互聯網中,區塊鏈的網站越來越多,在區塊鏈安全上,很多都存在
著網站漏洞

,區塊鏈的充值以及提現,會員賬號的存儲性XSS竊取漏洞,賬號安全
,等等關於這些區塊鏈

的漏洞,我們eSafe白帽資安網對其進行了整理與總結。
 
 
目前整個區塊鏈網站安全市場的需求是蠻大的,很多區塊鏈網站,也叫數字貨幣平台,以及數

字虛擬幣,虛擬錢包,區塊鏈錢包,整體上的區塊鏈網站架構是分5個
層,第一層是區塊鏈的

應用層:分發行機制,分配機制。第二層是激勵層,第三層
是共識層:POW,第四層是P2P網

絡,區塊鏈傳播機制,安全驗證機制。第五層就是
數據層:分區塊數據,鏈式結構,數字簽名,

哈希函數,Merkle樹,非對稱加密。


 
 
在我們esafe對區塊鏈網站進行安全檢測,與安全滲透的過程中,發現很多網站漏洞,針對於區

塊鏈漏洞我們總結如下:
一般出現網站漏洞的地方存在於網站的邏輯漏洞,在會員註冊,會員

登錄,區塊鏈
地址管理:像充幣,轉幣,提幣。委託交易,買入賣出(期貨,法幣,以太坊,

特幣等等)賬戶的密碼安全(修改密碼,手機短信驗證),第三方支付平台(API接口支付)。


在實際安全測試當中,比較容易發現的漏洞如下:

 
 
會員賬號的存儲性跨站漏洞
 
 
可以竊取用戶的私密信息,包括賬號的cookies值,利用會員的cookies值,登錄操作會員的幣。

在weixin賬號填入處可以寫入XSS代碼,如下圖所示:

 
區塊鏈CSRF漏洞
 
在數字貨幣交易平台裡我們登錄會員賬號,進行幣的買賣,轉幣的操作過程中,可以不用輸入

密碼直接提交轉幣操作,無視密碼。該轉幣的表單並沒有對其做安全防
護,導致存在很嚴重的

漏洞,造成的危害也很大,很容易被攻擊者利用。

 
充幣、提幣漏洞
 
在區塊鏈平台當中,很多網站並沒有對充幣的表單進行安全過濾,導致可以構造負數,POST

提交到區塊鏈主機中去,充幣提幣的時候可以造成負數,導致幣增加。
 

 
轉幣地址被惡意篡改
 
EVM在判斷轉幣地址的時候,沒有過濾尾部的數字0,導致別人對其轉幣操作的時候可能會發現

轉幣地址的變化,攻擊者可以利用該方式對其進行轉幣,風險較大。
 
如何修復以上區塊鏈網站漏洞呢?
 
 
對提幣,以及充幣,錢包交易,買入,賣出等會員的功能性操作的表單,進行安全過濾,對GET

,POST的提交方式的數據進行嚴格的檢測,對用戶輸入的參數以及輸
入值也加強檢查,防止惡意

構造參數提交到主機端。


 
分享: