目前移動網際網路中,區塊鍊的網站越來越多,在區塊鍊安全上,很多都存在着網站漏洞,區塊鍊的充值以及提現,會員賬号的存儲性XSS竊取漏洞,賬号安全,等等關于這些區塊鍊的漏洞,我們SINE安全對其進行了整理與總結。目前整個區塊鍊網站安全市場的需求是蠻大的,很多區塊鍊網站,也叫數字貨币平台,以及數字虛拟币,虛拟錢包,區塊鍊錢包,整體上的區塊鍊網站架構是分5個層,第一層是區塊鍊的應用層:分發行機制,配置設定機制。第二層是激勵層,第三層是共識層:POW,第四層是P2P網絡,區塊鍊傳播機制,安全驗證機制。第五層就是資料層:分區塊資料,鍊式結構,數字簽名,哈希函數,Merkle樹,非對稱加密。
在我們SINE安全對區塊鍊網站進行安全檢測,與安全滲透的過程中,發現很多網站漏洞,針對于區塊鍊漏洞我們總結如下:一般出現網站漏洞的地方存在于網站的邏輯漏洞,在會員注冊,會員登入,區塊鍊位址管理:像充币,轉币,提币。委托交易,買入賣出(期貨,法币,以太坊,比特币等等)賬戶的密碼安全(修改密碼,手機短信驗證),第三方支付平台(API接口支付)。在實際安全測試當中,比較容易發現的漏洞如下:
會員賬号的存儲性跨站漏洞
區塊鍊CSRF漏洞
在數字貨币交易平台裡我們登入會員賬号,進行币的買賣,轉币的操作過程中,可以不用輸入密碼直接送出轉币操作,無視密碼。該轉币的表單并沒有對其做安全防護,導緻存在很嚴重的漏洞,造成的危害也很大,很容易被攻擊者利用。
充币、提币漏洞
在區塊鍊平台當中,很多網站并沒有對充币的表單進行安全過濾,導緻可以構造負數,POST送出到區塊鍊伺服器中去,充币提币的時候可以造成負數,導緻币增加。
轉币位址被惡意篡改