近两年来,区块链行业发展如火如荼,数字货币钱包的数量也与日俱增。但值得注意的是,大部分钱包开发团队普遍遵循业务优先原则,对自身钱包产品的安全性尚未足够重视,且相应安全标准严重滞后,安全防护落后。 2016.6 基于以太坊的众筹项目TheDAO遭到攻击,导致300多万以太坊损失 2017.7 以太坊钱包Parity被盗,导致15万以太坊损失 2017.11 Parity钱包再次出现Bug,导致 93 万个以太坊被冻结,价值 2.8 亿美金 2018.1 日本最大比特币交易所Coincheck被黑,价值5.3亿美金的NEM被盗 ...... 据成都链安调查,目前市场上最为主流的近20多款数字货币钱包近八成都存在安全隐患,主要风险有: 用户操作被截屏/录屏记录 未监测软件运行环境安全 交易密码未检测弱口令 核心功能代码未加固 钱包APP伪造漏洞 黑客一旦瞄准『钱包』,找到漏洞,就会将账户货币洗劫一空,且由于数字货币匿名、不可追踪等特性,资产一旦被盗,无法挂失难以追回。因此,加强对数字货币钱包的安全防护刻不容缓。 为保障钱包安全、保护用户资产,成都链安推出数字钱包安全解决方案。方案从安全评估设计-安全审计-安全威胁发现(渗透测试)-出具检测和审计报告形成闭环,全方面保障钱包安全。 方案针对钱包风险项目进行全方位的黑盒+灰盒安全审计: WEB网站渗透和审计服务 分类 项目 代码审计项 安全漏洞覆盖:OWASP,CWE,SANS,PCI,SOX,GDPR 密码明文存储,调试程序残留,反序列化等 错误的类修饰符,未使用的引用和方法等 不安全的文件访问,内存泄漏等 数据库权限,WEB服务权限等错误配置 业务逻辑错误 异常处理不完善 危险系统方法调用 不安全的数据库调用 随机数问题,不安全的字符串操作 渗透测试检测项 XSS跨站漏洞 文件上传漏洞 CSRF SQL注入漏洞 代码执行漏洞 命令执行漏洞 暴力破解 未授权操作 越权操作 弱口令 主机系统漏洞 安全误配置 业务逻辑漏洞 WEB应用渗透测试项 拒绝服务攻击 (Slow HTTP DoS) 文件泄露 错误的安全配置 远程文件包含漏洞检测 本地文件上传漏洞检测 cdn、waf 配置安全检测 存储服务安全配置检测 服务器端口服务安全检测 心脏滴血漏洞 Api接口安全检测 COOKIE注入、劫持 缓冲区溢出(本地) 缓冲区溢出(远程) PHP CGI 远程代码执行 struct2系列 Java反序列化 WEB前端跨域安全配置检测 验证码爆破和绕过 APP渗透测试项 用户注册、登录、交易时网络数据是否进行加密 客户端使用的加密算法是否在Java层实现 APP可重编译插入恶意代码 so层的加密算法是否可被hook直接恢复为明文 是否硬编码加密、解密秘钥 文件存储安全 Sqlite数据库存储安全,是否存在sql注入等 助记词、私钥、登录密码等敏感信息存储安全 交易签名安全 是否存在可劫持强制更新漏洞 通用系统漏洞扫描 嵌入应用组件安全,比如商城、积分兑换等 是否进行钱包运行环境安全检测,如root检测、xposed?hook框架检测 钓鱼劫持风险 —- 编译者/作者:成都链安科技 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
行业观察80%钱包存在安全漏洞钱包安全如何保障?
2020-03-05 成都链安科技 来源:区块链网络
LOADING...
相关阅读:
- DeFi项目Dharma为500万UNI提供了新的Uniswap空投2020-10-30
- 以太坊有近24%的交易所持有-是比特币百分比的三倍2020-10-30
- 严哥说币:比特币以太坊10.30日行情及操作思路解析2020-10-30
- 反亏为盈不是死扛2020-10-30
- 币圈子房:10.30短线下探13100附近后市建议回调做空2020-10-30