• 150-2922-9543
  • support@noneage.com

交易所安全测试

交易所安全测试-App安全·下

如今,随着人们使用手机,平板等移动端设备上网的时间与频率增加,移动app的发展也是愈来愈迅速。各大交易所在与用户交互的这方面,除了网页浏览以外,也就是移动端的app了。 尽管app时下相当流行,但其安全性却一直没有得到足够的关注。在app安全的领域上,大部分厂商都做得比较初级,很多用户也不具备相对应的安全意识。由此,app也就变成了恶意攻击者的一个有效突破口。 零时科技安全团队在经过大量对app进行的安全测试之后,总结出了一份相对完整有效的测试列表,建议各大交易所以此自查,防患于未然。


Read more

交易所安全测试-App安全·上

如今,随着人们使用手机,平板等移动端设备上网的时间与频率增加,移动app的发展也是愈来愈迅速。各大交易所在与用户交互的这方面,除了网页浏览以外,也就是移动端的app了。 尽管app时下相当流行,但其安全性却一直没有得到足够的关注。在app安全的领域上,大部分厂商都做得比较初级,很多用户也不具备相对应的安全意识。由此,app也就变成了恶意攻击者的一个有效突破口。 零时科技安全团队在经过大量对app进行的安全测试之后,总结出了一份相对完整有效的测试列表,建议各大交易所以此自查,防患于未然。


Read more

交易所安全测试-用户认证

用户认证安全方面的安全问题也许单单从技术层面上讲,并不是一种非常复杂的问题,因为解决起来并不怎么困难;但如果从交易所的实际交易业务层面来看,用户认证方面如果存在安全隐患,那将是非常可怕的。简单试想一下,如果一个黑客可以通过任意账号的用户认证,那这位攻击>者会对那些账户里的余额做什么呢......


Read more

交易所安全测试-接口安全

API,英文全称Application Programming Interface,翻译为“应用程序编程接口”。是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。 由于其快速、有效和安全、可靠 的特性,被开发>人员广泛的使用。但如果接口本身没有做好安全防护或者调用时没有做好频率限制,都会导致问题的出现。


Read more

交易所安全测试-安全配置

服务端是一种专门为某一客户端设立的,具有针对性的程序,通常都只具备认证与传输数据功能。比如游戏服务端,就是专门为游戏客户端提供服务的,服务的内容包括为客户端提供登录服务,保存游戏玩家资料,提供玩家在线游戏等。而游戏客户端的登陆,就需要服务端的授权,服务>器登录要是存在问题,就会使得其他人可以进入服务端,进而引发信息泄露,严重者甚至可能破坏服务端安全配置。由此,服务端安全配置的安全问题不可小视。


Read more

交易所安全测试-输入输出

输入输出的安全问题来源于开发人员编码过程中的粗心大意以及应有的安全意识的缺失。这些安全问题对于网站来说是非常严峻的,对数据库,网站管理权限,内网都有巨大威胁。而且利用手法很多,如利用任意文件上传漏洞可直接获取网站shell,利用命令执行漏洞可执行命令反弹shell,利用SQL注入漏洞可查看和修改数据库信息,利用服务端请求伪造(SSRF)漏洞可攻击内网等。因此关于输入输出的安全测试必不可少,并且是重中之重,丝毫不能疏忽和遗漏。以下是对交易所进行测试后列出的详细测试条目,以及一些存在输入输出安全问题的经典案例。


Read more

交易所安全测试-信息泄漏

信息泄露在安全审计中屡见不鲜,对于存有大量用户KYC信息的交易所来说影响更加深远,是非常严重的安全问题。零时科技安全团队在审计大量交易所后发现,信息泄露问题一般集中于交易所的账户体系、OTC交易系统、用户订单、邀请列表和网站源代码等地方。造成信息泄露的主要原>因一般是由于服务器响应包内容没有经过处理就将用户的所有信息返回,配合其他漏洞甚至可以批量的获取用户敏感信息,除此以外,对善于掘金的攻击者来说网站前端源码可谓是遍地黄金,大量敏感信息的注释(测试账户、内网IP、测试地址、测试token等等)没有在进入生产环境时被 删除。


Read more

交易所安全测试-业务逻辑

对于交易所来说,一个逻辑完备,鉴权完整的交易流程必不可少。业务逻辑漏洞独立与其他服务却又容易受到其他安全问题的牵扰。与SQL注入、XSS等常规web安全漏洞不同,业务逻辑漏洞使用正常的业务流程中的程序固有不足,逻辑设计缺陷等进行攻击,甚至绕过已有安全防护措施,一 般防护手段以及安全设备无法防御,因此业务逻辑漏洞一直困扰着广大开发者和安全测试人员。这里给出在经过大量对交易所安全测试后总结出的详细的测试条目,拿出具体案例和大家一起分析存在的安全问题。


Read more

交易所安全测试-社会工程

社会工程学是信息收集技术的延伸和升级,是一种高级的信息利用手段。系统中最大的漏洞永远是人,社会工程学攻击则是一种高效利用这种漏洞的手段,它看似不起眼,也不专业,也没有技术性,但其实是最有效,最直接的攻击手段之一。面对机器,一样的输入只有一种结果;而面对人,一样的输入却有千万种不同的反馈,根据这些探索出更深层次的信息,正是社会工程学的魅力所在。以下是信息收集List和社会工程学在测试中大放异彩的案例,供大家参考。


Read more

交易所安全测试--信息收集

对于所有安全相关的测试来说,信息收集都是非常重要且必要的第一步,有时一次非常全面完善的信息收集甚至会占到一次渗透测试总工程量的的70%到80%,能为后续的工作节省大量精力,提供便利,数字货币交易所的安全测试也是一样,第一步的信息收集至关重要。本文将展示零>时科技安全团队的多年攻防经验,以及大量交易所客户真实案例,虽然见微知著,但是通过案例就可以了解到,在安全测试过程中数字货币交易所有什么样的信息可供黑客收集利用以及导致怎样的危害。其中几点将会被单独加以说明,以供参考。


Read more