日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

本文由創(chuàng)新互聯(lián)（www.cdcxhl.com）小編為大家整理，本文主要介紹了審計(jì)學(xué)碼的相關(guān)知識(shí)，希望對(duì)你有一定的參考價(jià)值和幫助，記得關(guān)注和收藏網(wǎng)址哦！

創(chuàng)新互聯(lián)公司主營(yíng)站前網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營(yíng)網(wǎng)站建設(shè)方案,成都APP應(yīng)用開(kāi)發(fā),站前h5小程序開(kāi)發(fā)搭建,站前網(wǎng)站營(yíng)銷推廣歡迎站前等地區(qū)企業(yè)咨詢

1、審計(jì)學(xué)碼？

審計(jì)專業(yè)的碼是120207。

2、什么是代碼審計(jì)？

加密錢(qián)包安全審計(jì):你的錢(qián)包安全嗎？

近年來(lái)，數(shù)字錢(qián)包安全事件頻頻發(fā)生。

2019年11月19日，Ars Technica報(bào)告稱，兩個(gè)加密貨幣錢(qián)包數(shù)據(jù)泄露，220萬(wàn)賬戶信息被盜。安全研究員特洛伊·亨特(Troy Hunt)證實(shí)，被盜數(shù)據(jù)來(lái)自加密貨幣錢(qián)包GateHub和RuneScape機(jī)器人提供商EpicBot的賬戶。

這不是Gatehub第一次遭遇數(shù)據(jù)泄露。據(jù)報(bào)道，去年6月，黑客入侵了大約100個(gè)XRP賬本錢(qián)包，導(dǎo)致近1000萬(wàn)美元被盜。

2019年3月29日，比瑟姆盜竊案引起軒然大波。據(jù)推測(cè)，這件事是因?yàn)锽ithumb擁有的g4ydomrxhege賬號(hào)的私鑰被黑客而開(kāi)始的。

隨即，黑客將盜取的資金分散到各個(gè)交易所，包括火幣、HitBTC、WB、EXmo等。根據(jù)非官方數(shù)據(jù)和用戶估計(jì)，Bithumb遭受了超過(guò)300萬(wàn)EOS幣(約1300萬(wàn)美元)和2000萬(wàn)XRP幣(約600萬(wàn)美元)的損失。

由于數(shù)字貨幣的匿名性和去中心化，被盜資產(chǎn)在一定程度上難以追回。所以錢(qián)包的安全性很重要。

2020年8月9日，CertiK 的安全工程師在DEF CON安全大會(huì)上發(fā)表了主題為Exploit Cryptwall—— CertiK Chain的Deepwallet。

此外，還有像Shapeshift這樣的公司，它們生產(chǎn)支持不同協(xié)議的錢(qián)包。

從安全的角度來(lái)看，加密錢(qián)包最重要的問(wèn)題是防止攻擊者用戶的助記符和私鑰等信息。;錢(qián)包。

在過(guò)去的一年里，CertiK技術(shù)團(tuán)隊(duì)對(duì)幾款加密錢(qián)包進(jìn)行了測(cè)試和研究，在此分享基于軟件對(duì)不同類型的加密錢(qián)包進(jìn)行安全性評(píng)估的方法和流程。

加密錢(qián)包基本審計(jì)列表

評(píng)估一個(gè)應(yīng)用，我們需要知道它的工作原理→代碼實(shí)現(xiàn)是否符合最好的安全標(biāo)準(zhǔn)→如何糾正和改進(jìn)安全性不足的部分。

CertiK技術(shù)團(tuán)隊(duì)為加密錢(qián)包制定了一個(gè)基本的審計(jì)列表，它反映了所有形式的加密錢(qián)包應(yīng)用程序(手機(jī)、網(wǎng)絡(luò)、分機(jī)、桌面Fac——顯示敏感數(shù)據(jù)時(shí)，Android應(yīng)用程序會(huì)阻止用戶截圖嗎？iOS是否警告用戶不要截圖敏感數(shù)據(jù)？

應(yīng)用在后臺(tái)截圖中是否泄露敏感信息？

應(yīng)用程序是否檢測(cè)設(shè)備是否越獄/root？

應(yīng)用是否鎖定后臺(tái)服務(wù)器的證書(shū)？

應(yīng)用程序是否在應(yīng)用程序的日志中記錄敏感信息？

應(yīng)用程序是否包含錯(cuò)誤配置的deeplink和intent，它們能否被利用？

應(yīng)用程序包會(huì)混淆代碼嗎？

應(yīng)用是否實(shí)現(xiàn)了反調(diào)試功能？

應(yīng)用程序是否檢查應(yīng)用程序重新打包？

(iOS)iOS鑰匙扣中存儲(chǔ)的數(shù)據(jù)是否足夠安全？

應(yīng)用程序會(huì)受到鑰匙鏈數(shù)據(jù)持久性的影響嗎？

當(dāng)用戶輸入敏感信息時(shí)，應(yīng)用程序是否禁用自定義鍵盤(pán)？

該應(yīng)用程序使用安全嗎？"webview "要加載外部網(wǎng)站？

網(wǎng)絡(luò)錢(qián)包

對(duì)于一個(gè)完全去中心化的錢(qián)包來(lái)說(shuō)，Web應(yīng)用正逐漸成為一個(gè)冷門(mén)的選擇。MyCrypto不允許用戶在web應(yīng)用中使用keystore/助記符/私鑰訪問(wèn)錢(qián)包，MyEtherWallet也建議用戶不要這樣做。

與運(yùn)行在其他三個(gè)平臺(tái)上的錢(qián)包相比，以web應(yīng)用形式對(duì)錢(qián)包進(jìn)行的釣魚(yú)攻擊大同小異。It 對(duì)我來(lái)說(shuō)更容易；如果攻擊者入侵web服務(wù)器，通過(guò)在網(wǎng)頁(yè)中注入惡意JavaScript，就可以輕松用戶的錢(qián)包信息。

然而，一個(gè)安全構(gòu)建并經(jīng)過(guò)全面測(cè)試的網(wǎng)絡(luò)錢(qián)包仍然是用戶管理其加密資產(chǎn)的最佳選擇。

除了上述通用的基本審計(jì)類別，在評(píng)估客戶端web wallet時(shí)，我們還列出了以下需要審計(jì)的類別:

應(yīng)用程序中是否存在跨站點(diǎn)腳本XSS漏洞？

應(yīng)用中是否存在點(diǎn)擊劫持漏洞？

應(yīng)用程序是否有有效的內(nèi)容安全策略？

應(yīng)用程序中是否存在開(kāi)放重定向漏洞？

應(yīng)用中是否存在HTML注入漏洞？

現(xiàn)在，網(wǎng)絡(luò)錢(qián)包很少使用cookie，但如果有，你應(yīng)該檢查一下:

屬性Cookie

跨站請(qǐng)求偽造(CSRF)

跨域資源共享(CORS)配置錯(cuò)誤

除了基本的錢(qián)包功能之外，應(yīng)用程序還包含其他功能嗎？這些函數(shù)中是否存在任何可利用的漏洞？

上面沒(méi)有提到的OWASP十大漏洞。

擴(kuò)展錢(qián)包

Metamask是最著名和最常用的加密錢(qián)包之一，它是作為瀏覽器擴(kuò)展出現(xiàn)的。

在內(nèi)部，擴(kuò)展錢(qián)包的工作與web應(yīng)用程序非常相似。

不同的是，它包含獨(dú)特的組件，稱為內(nèi)容腳本和后臺(tái)腳本。

通過(guò)網(wǎng)站內(nèi)容腳本和后臺(tái)腳本傳遞事件或消息，與擴(kuò)展頁(yè)面進(jìn)行通信。

在評(píng)估擴(kuò)展錢(qián)包的過(guò)程中，最重要的事情之一是測(cè)試惡意網(wǎng)站是否可以在沒(méi)有用戶的情況下讀取或?qū)懭雽儆跀U(kuò)展錢(qián)包的數(shù)據(jù)。;的同意。

除了基本列表之外，以下是評(píng)估擴(kuò)展wallet時(shí)要檢查的審計(jì)類別:

擴(kuò)展需要什么權(quán)限？

分機(jī)如何決定允許哪個(gè)網(wǎng)站與分機(jī)錢(qián)包通信？

擴(kuò)展錢(qián)包如何與網(wǎng)頁(yè)交互？

惡意網(wǎng)站能否通過(guò)擴(kuò)展中的漏洞攻擊擴(kuò)展本身或?yàn)g覽器中的其他頁(yè)面？

惡意網(wǎng)站可以在沒(méi)有用戶的情況下讀取或修改屬于擴(kuò)展的數(shù)據(jù)嗎？;s的同意？

錢(qián)包膨脹是否存在點(diǎn)擊劫持漏洞？

擴(kuò)展錢(qián)包(通常是后臺(tái)腳本)在處理消息之前是否檢查消息的來(lái)源？

應(yīng)用程序是否實(shí)施了有效的內(nèi)容安全策略？

電子桌面錢(qián)包

寫(xiě)完了web應(yīng)用的代碼，為什么不用它來(lái)構(gòu)建一個(gè)電子版的桌面應(yīng)用呢？

過(guò)去測(cè)試的桌面錢(qián)包，80%左右是基于電子框架的。當(dāng)測(cè)試基于電子的桌面應(yīng)用程序時(shí)，我們不僅要尋找web應(yīng)用程序中可能存在的漏洞，還要檢查電子組態(tài)是否安全。

CertiK已經(jīng)分析了電子公司的脆弱性。;的桌面應(yīng)用程序。詳情可以點(diǎn)擊訪問(wèn)這篇文章。

以下是評(píng)估基于電子桌面的電子錢(qián)包時(shí)要檢查的審計(jì)類別:

應(yīng)用程序使用什么版本的電子？

應(yīng)用程序是否加載遠(yuǎn)程內(nèi)容？

應(yīng)用程序是否禁用 "節(jié)點(diǎn)集成 "和 "enableRemoteModule "？

應(yīng)用程序是否啟用了 "上下文隔離和， "沙盒 "和 "網(wǎng)絡(luò)安全與技術(shù)選項(xiàng)？

應(yīng)用程序是否允許用戶從當(dāng)前錢(qián)包頁(yè)面跳轉(zhuǎn)到同一窗口中的任何外部頁(yè)面？

應(yīng)用程序是否實(shí)施了有效的內(nèi)容安全策略？

預(yù)加載腳本是否包含可能被濫用的代碼？

應(yīng)用程序是否將用戶輸入直接傳遞給一個(gè)危險(xiǎn)的函數(shù)(比如 "開(kāi)放外部 ")?

應(yīng)用程序會(huì)制定不安全的自定義協(xié)議嗎？

服務(wù)器端漏洞檢查列表

我們測(cè)試過(guò)的cryptowallet應(yīng)用程序中，超過(guò)一半沒(méi)有集中式服務(wù)器，它們直接連接到節(jié)點(diǎn)。

CertiK技術(shù)團(tuán)隊(duì)認(rèn)為這是一種減少攻擊面和保護(hù)用戶的方法。;隱私。

但是，如果應(yīng)用程序希望為客戶提供除帳戶管理和令牌傳輸之外的更多功能，那么應(yīng)用程序可能需要一個(gè)具有數(shù)據(jù)庫(kù)和服務(wù)器端代碼的集中式服務(wù)器。

服務(wù)器組件要測(cè)試的項(xiàng)目高度依賴于應(yīng)用程序的特征。

根據(jù)調(diào)研和與客戶接觸中發(fā)現(xiàn)的服務(wù)器端漏洞，我們整理了以下漏洞清單。當(dāng)然，它并不包含所有可能的服務(wù)器端漏洞。

認(rèn)證和授權(quán)

KYC及其有效性

比賽條件

云服務(wù)器配置錯(cuò)誤

服務(wù)器配置錯(cuò)誤

不安全直接對(duì)象引用(IDOR)

服務(wù)器請(qǐng)求偽造(SSRF)

不安全的文件上傳

任何類型的注入(SQL、命令、模板)漏洞

任意文件讀/寫(xiě)

業(yè)務(wù)邏輯錯(cuò)誤

速度限制

拒絕服務(wù)

信息泄露

摘要

隨著技術(shù)的發(fā)展，黑客的欺詐和攻擊手段越來(lái)越多樣化。

CertiK安全技術(shù)團(tuán)隊(duì)希望通過(guò)分享加密錢(qián)包的隱患，讓用戶對(duì)數(shù)字貨幣錢(qián)包的安全問(wèn)題有更清晰的認(rèn)識(shí)，提高警惕。

目前很多開(kāi)發(fā)團(tuán)隊(duì)對(duì)安全的重視程度遠(yuǎn)遠(yuǎn)低于對(duì)業(yè)務(wù)的重視程度，對(duì)自己的錢(qián)包產(chǎn)品沒(méi)有足夠的安全保護(hù)。C

3、網(wǎng)絡(luò)安全未來(lái)可以從事的崗位是什么？

你需要知道的是， 美國(guó)的安全部門(mén)分為學(xué)術(shù)安全和產(chǎn)業(yè)安全，產(chǎn)業(yè)安全可以細(xì)分為甲方和乙方。;美國(guó)安全和黨B amp；;的安全性。你能從事的崗位就在這幾類。首先你要想好走哪條路，然后選擇細(xì)分的崗位。

1.學(xué)術(shù)安全。最典型的成為大學(xué)老師或者科研機(jī)構(gòu)研究員的都是從事理論研究的，比如網(wǎng)絡(luò)中一些新興協(xié)議的安全性，或者一些加密傳輸算法。注意，這些東西肯定不是現(xiàn)實(shí)中廣泛使用的，都是面向未來(lái)的安全。你的輸出可能是一個(gè)發(fā)明專利，一個(gè)論文本，或者一個(gè)課件，你會(huì)獲得更多的榮譽(yù)感。也許在未來(lái)幾年或幾十年，你所倡導(dǎo)的會(huì)成為現(xiàn)實(shí)，但對(duì)當(dāng)前人類生活、國(guó)家或單位經(jīng)濟(jì)影響不大。

2.工業(yè)安全。相對(duì)來(lái)說(shuō)，這是現(xiàn)在進(jìn)行時(shí)的安全性。具體職位是某企業(yè)或部門(mén)的工程師。當(dāng)然，你的工資肯定是學(xué)術(shù)工作的幾倍，但也預(yù)示著你會(huì)更忙。當(dāng)然，你的工作可能很難被外界知道，因?yàn)閺氖鹿I(yè)安全一般需要簽訂保密協(xié)議。你的作品涉及公司或機(jī)構(gòu)的秘密，永遠(yuǎn)不會(huì)公開(kāi)發(fā)表，它可以 你的簡(jiǎn)歷中甚至不會(huì)提到它。關(guān)于甲方和乙方的區(qū)別，我們后面會(huì)分別說(shuō):

(1)甲方是安全的。乙方習(xí)慣被稱為甲方的父親，最大的當(dāng)然是部門(mén)，比如國(guó)安、公安等機(jī)關(guān)的公務(wù)員，還有很多企事業(yè)單位的保安員工。如果互聯(lián)網(wǎng)公司有自己的安全部門(mén)，會(huì)有相應(yīng)的安全工程師崗位。他們的共同點(diǎn)是 "國(guó)防與國(guó)防在部分安全中，它保證、企業(yè)安全或產(chǎn)品網(wǎng)站的安全。在甲方，你可能更熟悉業(yè)務(wù)，更了解網(wǎng)絡(luò)安全的方方面面。所謂的 "三分技術(shù)七分管理 "指甲方；;你也可以接觸到很多很多乙方的保安人員。

(2)乙方安全。B黨招募的大部分人美國(guó)安全公司ar

4、滲透有必要學(xué)pwn嗎？

，這是必要的，

首先，如果滲透的話，比如臟牛，線上版本大多不穩(wěn)定。如果有一定的pwn能力，可以自己調(diào)試。

舉個(gè)例子，作為一個(gè)網(wǎng)狗，如果有一天代碼層面沒(méi)有可以審計(jì)和挖掘的漏洞，那么只能挖掘底層漏洞。

總之網(wǎng)狗越來(lái)越難了Orz

分享文章：審計(jì)學(xué)碼？（什么是代碼審計(jì)？）
當(dāng)前網(wǎng)址：http://m.5511xx.com/article/coehesp.html