交易所安全审计

  • 交易所安全测试–安全审计指南

    零时科技安全团队《交易所安全测试》这一系列的文章已经结束了,为了方便广大安全人员查阅,我们将这十期文章做了一个总结,希望在安全人员们测试或各大交易所想要检查自家交易所安全问题时,能…

    2021年3月16日
  • 交易所安全测试–APP安全 · 下篇

    一. 概述 如今,随着人们使用手机,平板等移动端设备上网的时间与频率增加,移动app的发展也是愈来愈迅速。各大交易所在与用户交互的这方面,除了网页浏览以外,也就是移动端的app了。…

    2021年3月16日
  • 交易所安全测试–APP安全 · 上篇

    ​​ 一. 概述 如今,随着人们使用手机,平板等移动端设备上网的时间与频率增加,移动app的发展也是愈来愈迅速。各大交易所在与用户交互的这方面,除了网页浏览以外,也就是移动端的ap…

    2021年3月16日
  • 交易所安全测试–接口安全

    ​​ 一. 概述 API,英文全称Application Programming Interface,翻译为“应用程序编程接口”。是一些预先定义的函数,目的是提供应用程序与开发人员…

    2021年3月16日
  • 交易所安全测试–用户认证

    ​​ 一. 概述 用户认证安全方面的问题也许单单从技术层面上讲,并不是一种非常复杂的问题,因为解决起来并不怎么困难;但如果从交易所的实际交易业务层面来看,用户认证方面如果存在安全隐…

    2021年3月16日
  • 交易所安全测试–配置安全

    一. 概述 服务端是一种专门为某一客户端设立的,具有针对性的程序,通常都只具备认证与传输数据功能。比如游戏服务端,就是专门为游戏客户端提供服务的,服务的内容包括为客户端提供登录服务…

    2021年3月15日
  • 交易所安全测试–信息泄露

    ​​ 一. 概述 信息泄露在安全审计中屡见不鲜,对于存有大量用户KYC信息的交易所来说影响更加深远,是非常严重的安全问题。零时科技安全团队在审计大量交易所后发现,信息泄露问题一般集…

    2021年3月10日
  • 交易所安全测试–业务逻辑

    ​​ 一. 概述 对于交易所来说,一个逻辑完备,鉴权完整的交易流程必不可少。业务逻辑漏洞独立与其他服务却又容易受到其他安全问题的牵扰。与SQL注入、XSS等常规web安全漏洞不同,…

    2021年3月10日
  • 交易所安全测试–信息收集进阶篇

    一. 概述 社会工程学是信息收集技术的延伸和升级,是一种高级的信息利用手段。系统中最大的漏洞永远是人,社会工程学攻击则是一种高效利用这种漏洞的手段,它看似不起眼,也不专业,也没有技…

    2021年3月5日
  • 交易所安全测试–信息收集

    一、概述 对于所有安全相关的测试来说,信息收集都是非常重要且必要的第一步,有时一次非常全面完善的信息收集甚至会占到一次渗透测试总工程量的的70%到80%,能为后续的工作节省大量精力…

    2021年3月5日