在搭建一個合理的安全檢測流程時，不能直接進(jìn)入對代碼分析的階段，在此之前搞清楚用戶代碼生命周期涉及的各個階段是必要的，只有充分了解被檢測對象和檢測目標(biāo)的基礎(chǔ)上，才能給出一個合理的流程：
目前移動互聯(lián)網(wǎng)中，區(qū)塊鏈的網(wǎng)站越來越多，在區(qū)塊鏈安全上，很多都存在著網(wǎng)站漏洞，區(qū)塊鏈的提幣，會員賬號的存儲性XSS截取漏洞，賬號安全，等等關(guān)于這些區(qū)塊鏈的漏洞，我們SINE安全對其進(jìn)行了整理與總結(jié)。目前整個區(qū)塊鏈網(wǎng)站安全市場的需求是蠻大的，很多區(qū)塊鏈網(wǎng)站，也叫數(shù)字平臺，以及數(shù)字，虛擬錢包，區(qū)塊鏈錢包，整體上的區(qū)塊鏈網(wǎng)站架構(gòu)是分5個層，一層是區(qū)塊鏈的應(yīng)用層：分發(fā)行機(jī)制，分配機(jī)制。第二層是激勵層，第三層是共識層：POW，第四層是P2P網(wǎng)絡(luò)，區(qū)塊鏈傳播機(jī)制，安全驗證機(jī)制。第五層就是數(shù)據(jù)層：分區(qū)塊數(shù)據(jù)，鏈?zhǔn)浇Y(jié)構(gòu)，數(shù)字簽名，哈希函數(shù)，Merkle樹，非對稱加密。
在我們SINE安全對區(qū)塊鏈網(wǎng)站進(jìn)行安全檢測，與安全滲透的過程中，發(fā)現(xiàn)很多網(wǎng)站漏洞，針對于區(qū)塊鏈漏洞我們總結(jié)如下：一般出現(xiàn)網(wǎng)站漏洞的地方存在于網(wǎng)站的邏輯漏洞，在會員注冊，會員登錄，區(qū)塊鏈管理：像充幣，轉(zhuǎn)幣，提幣。委托交易，買入賣出（法幣，，usdt等等）賬戶的密碼安全（密碼，手機(jī)短信驗證），第三方支付平臺（API接口支付）。在實際安全測試當(dāng)中，比較容易發(fā)現(xiàn)的漏洞如下：

請點(diǎn)擊輸入圖片描述邏輯漏洞以及越權(quán)漏洞范圍還包括這個數(shù)據(jù)庫操作，mysql，oracle數(shù)據(jù)庫，以及APP里的rpc沒有對用戶權(quán)限進(jìn)行安全判斷效驗導(dǎo)致一些任意數(shù)據(jù)讀取的安全漏洞。在網(wǎng)站數(shù)據(jù)調(diào)用過程中，只能了解到前期的用戶請求是來自于某個應(yīng)用層，或者來自于APP里的一個rpc應(yīng)用層的調(diào)用，根本無法做到是哪個用戶去請求的，不如某個游戲APP里用戶的某些請求，無法對其進(jìn)行嚴(yán)謹(jǐn)?shù)陌踩袛嗯c過濾，請求的用戶是否擁有改查詢數(shù)據(jù)的權(quán)限，或者是網(wǎng)站某功能的訪問權(quán)限。目前國內(nèi)大多數(shù)的互聯(lián)網(wǎng)公司，以及移動APP公司，都采用的開源軟件和代碼，或者是在開源的基礎(chǔ)上去二次開發(fā)，導(dǎo)致安全的漏洞頻頻發(fā)生，因為這些開源的軟件，以及網(wǎng)站程序代碼都不會做的安全，攻擊者也會深入其中的挖掘漏洞，因為開源所以防護(hù)者與攻擊者都是相互在一個起跑線上對抗。目前我們sine安全公司接觸到一些網(wǎng)站跟APP，前端安全防護(hù)部署的都還不錯，有的用CDN，以及前端的代碼注入防御，但是邏輯跟越權(quán)漏洞，不是靠CDN的防御去防的，而是從自身代碼里去找出網(wǎng)站的越權(quán)以及邏輯漏洞，并進(jìn)行代碼的漏洞修復(fù)，防止越權(quán)邏輯漏洞的發(fā)生。有些客戶的服務(wù)器也沒有做署，內(nèi)網(wǎng)的安全不盡人意，數(shù)據(jù)隨意讀取，系統(tǒng)之間互相可以登錄

管理內(nèi)部人員威脅
很多公司都意識到，員工滿懷怨恨地離開或被競爭對手招募時，就會產(chǎn)生內(nèi)部人威脅風(fēng)險：他們可能會利用手中的網(wǎng)絡(luò)訪問權(quán)加以，或為新雇主有用數(shù)據(jù)。撤銷該員工的訪問憑證應(yīng)成為降低此類風(fēng)險的首要動作。
不過，還有個不太明顯但同樣危險的時刻，那就是新員工入職的時候。人力資源部門當(dāng)然會對員工履歷做盡職調(diào)查，但他們未必會注意到該員工的所有關(guān)系或動機(jī)。業(yè)務(wù)風(fēng)險情報可提供此類信息，防止惡意人員進(jìn)入公司。幾年前有家財富 500 強(qiáng)公司就遭遇了此類風(fēng)險。當(dāng)時一名擬錄用的員工被發(fā)現(xiàn)與招募內(nèi)部人企業(yè)數(shù)據(jù)以作勒索的罪犯有聯(lián)系。一旦注意到該威脅，企業(yè)便可拒絕相關(guān)人士入職，并強(qiáng)化針對此類攻擊模式的安全防御。
新產(chǎn)品發(fā)布時也是公司的高風(fēng)險期。知識產(chǎn)權(quán)代表著公司 80% 的價值，所以知識產(chǎn)權(quán)失可能招致災(zāi)難性后果。公司雇員自然擁有公司商業(yè)秘密和產(chǎn)品信息訪問權(quán)，少數(shù)情況下，這種會誘人犯罪。但真要有員工起了壞心了公司知識產(chǎn)權(quán)，他們還需要找到的渠道，而這往往涉及 DDW 或其他買賣被盜資產(chǎn)的非法在線社區(qū)。
近的案例中，F(xiàn)lashpoint 分析師在某網(wǎng)絡(luò)犯罪論壇上看到某跨國科技公司尚未發(fā)布的軟件源代碼遭掛牌出售。分析確認(rèn)該源代碼泄露的源頭就是該公司一名雇員，而接到通告后，該公司得以終止與該流氓雇員的合約，并采取補(bǔ)救措施保護(hù)了那款產(chǎn)品。其中關(guān)鍵在于，若非網(wǎng)絡(luò)罪犯在 DDW 上為該來路不正的軟件打出售賣廣告，這名流氓雇員確實成功繞過了內(nèi)部檢測。在業(yè)務(wù)風(fēng)險情報提供的上下文幫助下，很多雇員當(dāng)時看似無害的行為無疑可從另一個不同角度解讀。

在對網(wǎng)站程序代碼的安全檢測當(dāng)中，網(wǎng)站文檔任意查看漏洞在整個網(wǎng)站安全報告中屬于比較高危的網(wǎng)站漏洞，一般網(wǎng)站里都會含有這種漏洞，尤其平臺，商城，交互類的網(wǎng)站較多一些，像普通權(quán)限繞過漏洞，導(dǎo)致的就是可以查看到網(wǎng)站里的任何一個文檔，甚至可以查看到網(wǎng)站的配置文檔config等等。我們SINE安全公司在對gitea開源程序代碼進(jìn)行網(wǎng)站安全檢測的時候發(fā)現(xiàn)存在網(wǎng)站文檔任意查看漏洞，沒有授權(quán)的任意一個用戶的賬號都可以越權(quán)創(chuàng)建gitea的lfs對象，這個對象通俗來講就是可以利用gitea代碼里寫好的第三方api借口，進(jìn)行訪問，可以實現(xiàn)如下功能：讀取文檔，上傳文檔，列目錄等等的一些讀寫分離操作。
Sine陳技術(shù)  人也隨和直爽，昨晚還熬夜主動幫解決服務(wù)器問題，很感動！這么熱情務(wù)實有擔(dān)當(dāng)?shù)母呤终骐y得，可以成為值得信賴的朋友！——向Sinesafe致敬！
http://www.cxftmy.com