錢包網站安全漏洞測試服務詳情
區塊鏈是目前比較火熱的話題,縱身而出的虛擬幣也越來越多,比特幣,以太坊,瑞波幣,萊特幣,狗狗幣,門羅幣都是基於區塊鏈而生的虛擬貨幣,在監管以及匿名,安全方面受到眾多人的喜歡,很多虛擬幣交易平臺,以及交易所網站也越來越多,國內像火幣網,幣安,位元兒,幣行網,可贏可樂都是目前較火的交易所。
目前我們SINE安全在對虛擬貨幣進行安全檢測以及安全分析,關於2018年以太坊被爆出的合約漏洞,我們來詳細的跟大家介紹一下,首先檢視之前的以太坊程式碼,對其仔細的人工檢查發現該以太坊漏洞主要是程式設計師在設計程式碼的時候,對合約安全進行判斷出了差錯,導致攻擊者利用繞過判斷進行攻擊。
我們看下合約程式碼:截圖如下
從上面的合約程式碼看出,程式碼的主要功能是對轉幣的函式,以及虛擬幣賬戶的餘額,使用者授權操作,以及提幣操作函式的,在整個程式碼中使用判斷來進行約束以太坊幣的交易狀態,從第188行裡還看到使用了一些場外交易中的外幣功能,使用該函式可以將外幣統一起來提幣到錢包地址進行轉賬操作。那漏洞是怎樣發生的呢?該如何安全防範?我們接下來繼續講:
上面提到的函式是使用者在轉幣的過程中,對傳入的引數值沒有進行金額的大小限制,不管多少金額都可以轉到使用者的錢包中去,如果轉幣的金額達到5以上就會自動的對虛擬幣金額進行設定,有一套以太坊自己的演算法,將自身錢包餘額加上這個金額就等於目前錢包的所有金額,漏洞的發生也在這裡。
轉賬使用的是token機制,每個使用者的token值都不一樣,我們側重的看下轉賬功能函式,由於轉賬函式處理演算法中出現安全問題才導致了漏洞的發生。看如下圖:
上面的圖片程式碼主要功能是轉賬,轉幣,我們看下程式碼裡寫的判斷條件,當轉幣人自身的金額大於轉幣的金額的時候,引數值會為1,並有個附加條件就是要滿足這個balances的值為0.能滿足這個條件的只有溢位引數了。我們來測試看下圖:
達到這個條件就是 轉幣人的餘額要小於轉幣的金額。每次轉幣都會導致賬戶多出很多幣來,針對於這種以太坊漏洞合約的程式設計師真應該好好的檢查反省自己的程式碼邏輯判斷問題,由於判斷條件寫的太過於疏忽才導致該虛擬幣漏洞的發生,很容易被攻擊者用來入侵,轉幣等危險的操作。
關於虛擬幣交易平臺安全防護方面,建議程式設計師在設計程式碼過程中,多次的測試,在上線之前找專業的網站安全公司進行安全滲透測試,對漏洞測試,漏洞挖掘,多層面的找漏洞,直到沒問題,再投入到平臺當中去,使整個虛擬貨幣更加的安全規範化,國內也就SINE安全,綠盟,啟明星辰等安全公司比較專業一些。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2646004/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站漏洞滲透測試服務內容詳情見解網站
- APP網站安全漏洞檢測服務的詳細介紹APP網站
- 網站安全漏洞測試對抓包嗅探埠講解網站
- 看雪網站滲透測試服務網站
- 網站漏洞測試php程式碼修復詳情網站PHP
- 程式碼滲透測試服務 白盒審計詳情
- 滲透測試網站安全漏洞檢測大體方法網站
- 企業網站如何做滲透測試服務網站
- 網站滲透測試服務之人工安全防護網站
- 企業網站安全滲透測試服務範圍網站
- 如何降低網站滲透測試服務的成本價格網站
- 網站安全滲透測試服務之discuz漏洞挖掘與利用網站
- 區塊鏈錢包系統去中心化錢包模式開發案例詳情區塊鏈中心化模式
- WordPress4.9最新版本網站安全漏洞詳情與修復網站
- 網站漏洞檢測工具對CSRF攻擊詳情網站
- 怎樣監測微型的網站服務網站
- 區塊鏈多幣種測試網路錢包(開源)區塊鏈
- ltp測試操作步詳解(壓力測試網站最詳、下載、使用)網站
- ai網頁詳情頁-測試-只差樣式修改網頁
- 滲透測試服務 前期對客戶網站APP的資訊收集分享網站APP
- 2.5.4. 測試Oracle net——2.5.4.3. 測試網路服務名Oracle
- 網站滲透測試服務之簡訊轟炸漏洞挖掘與修復網站
- ai網頁詳情頁-測試-api呼叫成功返圖!網頁
- 針對網路服務的滲透測試
- Web網站服務(二)Web網站
- 網站服務架構網站架構
- 詳解華為錢包
- 多鏈錢包開發原理丨多鏈錢包系統開發(詳情及流程)丨多鏈錢包系統原始碼分析原始碼
- 網站滲透測試原理及詳細過程網站
- 網站的安全漏洞網站
- 雲服務測試報告測試報告
- linux 網路 cat /proc/net/dev 檢視測試網路丟包情況Linuxdev
- 用Apache服務部署網站Apache網站
- 網站效能壓力測試工具:Apache ab使用詳解網站Apache
- 小紅書API介面測試 | 小紅書筆記詳情 API 介面測試指南API筆記
- YApi 服務端測試新增 globalCookie ,相容自動化觸發服務端測試功能API服務端Cookie
- 測試開發之網路篇-常用服務協議協議
- 移動APP安全測試服務APP