Skip to content

Latest commit

 

History

History
227 lines (177 loc) · 6.54 KB

Blockchain-CheckList.md

File metadata and controls

227 lines (177 loc) · 6.54 KB

Blockchain-CheckList

数字货币交易所安全渗透测试速查

[toc]

为了广大的安全人员查阅,将数字货币交易平台安全审计做总结,望各位安全人员进行渗透测试或各大数字交易平台想要检查自身安全问题时,可迅速定位。

1.信息收集

信息收集对安全测试,是非常重要的且必要的一步,全面完善的信息收集会为渗透测试工作带来大量的便利,极大的扩展了攻击面。

  • 服务器真实IP发现

  • 服务器指纹识别

  • 目标子域探测

  • 邮件服务探测

  • 证书信息收集

  • WEB服务组件指纹采集

  • WEB网站目录探测

  • API接口信息泄露

  • 域名whois及备案信息采集

  • 端口服务组件指纹采集

  • 旁服信息采集

  • C段服务采集

  • Github/SVN源码泄露发现

  • DNS记录分析搜索引擎公开信息采集(Google、Shodan、Zoomeye、Fofa等)

  • 企业信息(员工信息、组织框架、企业法人、企业综合信息)采集

  • 敏感文件发现

2.社会工程

社会工程是信息收集技术的延伸和升级,是更高级的信息利用手段,社会工程利用系统中的最大漏洞-人来收集更高级、更隐秘的情报,是最直接、最有效的攻击手段之一。

  • 身份信息采集

    姓名、绰号、性别等 学籍履历 曾用/现用手机号

  • 关系网络梳理 工作关系网络 生活关系网络

  • 社交信息发现 朋友圈、QQ空间等遗留信息 其他交友APP信息

  • 水坑攻击

  • 钓鱼攻击 邮件钓鱼 网页钓鱼

  • 口令猜解

3.业务逻辑

业务逻辑漏洞独立于其他服务却又受其他安全问题影响,业务逻辑漏洞通常和正常业务流程中的程序的固有不足、逻辑设计缺陷相关,甚至绕过已有的安全防护措施,一般的防护手段及安全设备无法防御检测。

  • 越权操作测试

    订单确权发起、查看、编辑、删除

    地址越权添加、删除

    用户信息越权查看、编辑

  • 工作流程绕过测试

  • KYC认证缺陷测试

    接口识别

    人工识别

  • OTC逻辑缺陷测试

  • 数值精度测试

  • 资产安全测试

    充值

    提现

  • 二次绕过验证测试

    google验证器

    手机及邮箱验证码

  • 盘口价格设置缺陷测试

  • 假充值测试

  • 短地址攻击测试

4.输入输出

输入输出的安全问题来源于部分开发人员编码过程中的粗心大意以及应有的安全意识确实,如部分开发人员对用户的输入不做任何处理等。安全问题对网站非常严峻,利用手法繁多,且对数据库、网站管理权限、内网都有巨大威胁。

  • 跨站脚本(XSS)
  • 模板注入测试
  • HTTP头注入测试
  • HTTP参数污染测试
  • 不安全的HTTP方法测试
  • 服务端请求伪造测试(SSRF)
  • 任意文件上传
  • SQL注入测试
  • XXE实体化测试
  • 反序列化测试
  • HTTP请求夹带攻击测试
  • 代码注入测试
  • 本地文件包含
  • 远程文件包含
  • 命令执行注入测试
  • 缓冲区溢出测试
  • 格式化字符串测试

5.安全配置

服务端是一种专门为某一客户端设立的针对性程序,通常都是只具备认证与传输数据功能,但却是网站运行的重要组成部分之一,也有网站的根基。如果服务端配置并不安全,也就意味着危险。

  • 后端服务组件配置测试
  • 服务器登录安全测试
  • 文件扩展名解析测试
  • 备份文件测试
  • 测试文件测试
  • 测试接口暴露
  • HTTP方法测试
  • Web前端跨域策略测试
  • Web安全响应头部测试
  • 弱SSL/TLS加密,不安全数据传输测试
  • 非加密信道传输敏感数据测试
  • 弱口令及默认口令探测
  • 管理后台发现

6.信息泄露

数字货币交易平台工作人员如果有疏忽,就会可能导致信息泄露问题。信息泄露问题一般集中于交易所的账户体系、OTC交易系统、用户订单、邀请列表和网站源代码等。总的来说,信息泄露就是对私密的额、不应外露的信息保护不当而引发的问题。

  • KYC信息泄露 登录注册 忘记密码 邀请列表 OTC交易系统 用户订单
  • 前端源码信息泄露 测试数据泄露 敏感信息泄露 API接口泄露
  • Github信息泄露 数据库文件/连接凭据 敏感信息泄露
  • 敏感文件信息泄露 robots.txt crossdomain.xml sitemap.xml .git/.svn/.bak

7.接口安全

接口,即API,是一些预先定义的函数,使得应用程序与开发人员基于某软件或硬件可以访问一组例程,而又无须访问源码或理解内部工作机制的细节。由于其快速、有效、安全、可靠的特性而被开发人员广泛使用,但是如果接口本身没有做好安全防护或者调用时没有做好频率限制,都会导致问题出现。

  • RPC安全测试 RMI远程命令执行 CORS
  • Web Service安全测试 SQL注入 信息泄露
  • GraphQL安全测试 未授权访问 信息泄露 GraphQL SQL注入 嵌套查询DoS
  • RESTful API安全测试
  • 数值精度测试
  • 接口频率测试 邮箱验证接口 短信验证接口 批量刷单
  • 超时检测

8.用户认证安全

  • 用户注册过程测试
  • 用户登录过程测试
  • 找回密码过程测试
  • 设备解绑过程测试
  • 验证码策略测试
  • 账户权限变化测试
  • 账户枚举测试
  • 弱密码策略测试
  • 口令信息加密传输测试
  • 默认口令测试
  • 账户锁定机制测试
  • 认证绕过测试
  • 浏览器缓存测试
  • 权限提升测试
  • 授权绕过测试
  • 撞库撞击测试

9.App安全

APP现如今已经使用的愈加频繁,但其安全方面还处于刚刚起步的阶段。

  • App运行时虚拟机检测
  • App运行时root检测
  • App数据备份检测
  • 代码反编译检测
  • 敏感权限使用
  • 敏感信息泄露
  • 拒绝服务测试
  • 目录穿越安全测试
  • App缓存安全测试
  • 接口安全测试
  • 弱加密安全测试
  • 密钥硬编码安全测试
  • 数据存储安全测试
  • 数据传输安全测试
  • 日志信息泄露检测
  • App组件导出检测
  • App组件权限检测
  • Webview多项安全漏洞测试
  • App Webview DOM 安全测试
  • 本地SQL注入安全测试
  • SQLite存储安全测试

10.声明

以上是引用《区块链安全入门与实战》附录B中内容,如设计版权,请邮件联系笔者删除。谢谢大家!