钱包安全现状
-
交易环境复杂
复杂的操作系统、浏览器、网络环境都将使交易存在很大的安全隐患。目前国内大部分基于手机平台(MTK)的比特币钱包,都可以被破解。通过导出钱包固件,不仅可以看到多个币种的缓存信息,还可以找到生成助记词的各种库。 -
业务优先安全次之
很多开发团队在以业务优先的原则下,对自身钱包产品的安全性并未同等重视,一旦出现安全性问题会导致大量用户出现账户货币被盗,而由于数字货币实现的特殊性,资产一旦被盗,无法挂失,很难被追回。
解决方案
针对APP热钱包、PC客户端热钱包、浏览器扩展热钱包、全节点钱包-
代码审计
从安全的角度对代码进行的安全测试评估,通过分析当前应用系统的源代码,在熟悉钱包业务系统的情况下,从应用系统结构方面检查其各模块和功能之间的关联、权限验证等内容;从安全性方面检查其脆弱性和缺陷。
-
渗透测试
根据创宇的安全服务经验,区块链客户关于钱包的安全,较注重其注册,登录,提现,交易的过程中的安全。知道创宇工程师会在对钱包系统不造成任何损害的前提下,模拟黑客攻击的方式对钱包进行完整的攻击测试,发现其存在的安全缺陷。
安全服务检查项
-
信息收集
域名Whois信息采集 真实IP发现 子域名探测 敏感文件信息泄露 证书信息收集 CDN反查信息 中间件信息收集 端口服务信息收集 研发或相关人员信息采集 漏洞信息收集 Google Hack探测 -
App安全检测
Webview 安全检测 代码反编译检测 文件存储安全检测 通道加密检测 权限检测 接口安全检测 业务安全检测 WebKit安全检测 App缓存安全检测 -
代码安全检测
SQL注入漏洞检测 跨站脚本(XSS)检测 OS命令注入 XXE实体注入检测 任意文件读取漏洞检测 任意文件上传漏洞检测 任意文件修改删除漏洞检测 跨站请求伪造(CSRF)检测 访问控制漏洞检测 身份认证漏洞检测 会话管理漏洞检测 敏感注释信息或代码泄露检测 第三方组件漏洞检测 -
节点安全检测
属性配置安全检测 通信安全检测 开源代码安全检测 节点数据同步安全检测 -
防护策略检测
安全防护设备绕过检测 HTTP请求签名绕过检测 -
中间件安全检测
错误页面自定义检测 控制台弱口令或漏洞检测 列目录及其他错误配置检测 危险的HTTP方法检测 -
数据库安全检测
远程链接数据库检测 数据库补丁更新及时性检测 -
通信安全检测
HTTPS证书安全检测 中间人劫持漏洞检测 参数传输方式安全检测(是否签名) -
业务安全检测
薅羊毛漏洞检测 密码找回漏洞检测 多步骤功能漏洞检测 短信接口设计缺陷检测 注册模块设计缺陷检测 业务逻辑漏洞检测 客服、留言互动安全检测 支付交易流程漏洞检测 -
信息泄露检测
敏感文件泄露检测 后台地址泄露检测 Git、svn、cvs安全检测 -
服务器安全检测
非业务端口开放检测 服务器补丁检测 远程管理口令安全
成功案例
联系我们
-
400-833-1123
工作日:10:00-18:00