审计学码？（什么是代码审计？）

本文由创新互联（www.cdcxhl.com）小编为大家整理，本文主要介绍了审计学码的相关知识，希望对你有一定的参考价值和帮助，记得关注和收藏网址哦！

创新互联公司主营站前网站建设的网络公司,主营网站建设方案,成都APP应用开发,站前h5小程序开发搭建,站前网站营销推广欢迎站前等地区企业咨询

1、审计学码？

审计专业的码是120207。

2、什么是代码审计？

加密钱包安全审计:你的钱包安全吗？

近年来，数字钱包安全事件频频发生。

2019年11月19日，Ars Technica报告称，两个加密货币钱包数据泄露，220万账户信息被盗。安全研究员特洛伊·亨特(Troy Hunt)证实，被盗数据来自加密货币钱包GateHub和RuneScape机器人提供商EpicBot的账户。

这不是Gatehub第一次遭遇数据泄露。据报道，去年6月，黑客入侵了大约100个XRP账本钱包，导致近1000万美元被盗。

2019年3月29日，比瑟姆盗窃案引起轩然大波。据推测，这件事是因为Bithumb拥有的g4ydomrxhege账号的私钥被黑客而开始的。

随即，黑客将盗取的资金分散到各个交易所，包括火币、HitBTC、WB、EXmo等。根据非官方数据和用户估计，Bithumb遭受了超过300万EOS币(约1300万美元)和2000万XRP币(约600万美元)的损失。

由于数字货币的匿名性和去中心化，被盗资产在一定程度上难以追回。所以钱包的安全性很重要。

2020年8月9日，CertiK 的安全工程师在DEF CON安全大会上发表了主题为Exploit Cryptwall—— CertiK Chain的Deepwallet。

此外，还有像Shapeshift这样的公司，它们生产支持不同协议的钱包。

从安全的角度来看，加密钱包最重要的问题是防止攻击者用户的助记符和私钥等信息。;钱包。

在过去的一年里，CertiK技术团队对几款加密钱包进行了测试和研究，在此分享基于软件对不同类型的加密钱包进行安全性评估的方法和流程。

加密钱包基本审计列表

评估一个应用，我们需要知道它的工作原理→代码实现是否符合最好的安全标准→如何纠正和改进安全性不足的部分。

CertiK技术团队为加密钱包制定了一个基本的审计列表，它反映了所有形式的加密钱包应用程序(手机、网络、分机、桌面Fac——显示敏感数据时，Android应用程序会阻止用户截图吗？iOS是否警告用户不要截图敏感数据？

应用在后台截图中是否泄露敏感信息？

应用程序是否检测设备是否越狱/root？

应用是否锁定后台服务器的证书？

应用程序是否在应用程序的日志中记录敏感信息？

应用程序是否包含错误配置的deeplink和intent，它们能否被利用？

应用程序包会混淆代码吗？

应用是否实现了反调试功能？

应用程序是否检查应用程序重新打包？

(iOS)iOS钥匙扣中存储的数据是否足够安全？

应用程序会受到钥匙链数据持久性的影响吗？

当用户输入敏感信息时，应用程序是否禁用自定义键盘？

该应用程序使用安全吗？"webview "要加载外部网站？

网络钱包

对于一个完全去中心化的钱包来说，Web应用正逐渐成为一个冷门的选择。MyCrypto不允许用户在web应用中使用keystore/助记符/私钥访问钱包，MyEtherWallet也建议用户不要这样做。

与运行在其他三个平台上的钱包相比，以web应用形式对钱包进行的钓鱼攻击大同小异。It 对我来说更容易；如果攻击者入侵web服务器，通过在网页中注入恶意JavaScript，就可以轻松用户的钱包信息。

然而，一个安全构建并经过全面测试的网络钱包仍然是用户管理其加密资产的最佳选择。

除了上述通用的基本审计类别，在评估客户端web wallet时，我们还列出了以下需要审计的类别:

应用程序中是否存在跨站点脚本XSS漏洞？

应用中是否存在点击劫持漏洞？

应用程序是否有有效的内容安全策略？

应用程序中是否存在开放重定向漏洞？

应用中是否存在HTML注入漏洞？

现在，网络钱包很少使用cookie，但如果有，你应该检查一下:

属性Cookie

跨站请求伪造(CSRF)

跨域资源共享(CORS)配置错误

除了基本的钱包功能之外，应用程序还包含其他功能吗？这些函数中是否存在任何可利用的漏洞？

上面没有提到的OWASP十大漏洞。

扩展钱包

Metamask是最著名和最常用的加密钱包之一，它是作为浏览器扩展出现的。

在内部，扩展钱包的工作与web应用程序非常相似。

不同的是，它包含独特的组件，称为内容脚本和后台脚本。

通过网站内容脚本和后台脚本传递事件或消息，与扩展页面进行通信。

在评估扩展钱包的过程中，最重要的事情之一是测试恶意网站是否可以在没有用户的情况下读取或写入属于扩展钱包的数据。;的同意。

除了基本列表之外，以下是评估扩展wallet时要检查的审计类别:

扩展需要什么权限？

分机如何决定允许哪个网站与分机钱包通信？

扩展钱包如何与网页交互？

恶意网站能否通过扩展中的漏洞攻击扩展本身或浏览器中的其他页面？

恶意网站可以在没有用户的情况下读取或修改属于扩展的数据吗？;s的同意？

钱包膨胀是否存在点击劫持漏洞？

扩展钱包(通常是后台脚本)在处理消息之前是否检查消息的来源？

应用程序是否实施了有效的内容安全策略？

电子桌面钱包

写完了web应用的代码，为什么不用它来构建一个电子版的桌面应用呢？

过去测试的桌面钱包，80%左右是基于电子框架的。当测试基于电子的桌面应用程序时，我们不仅要寻找web应用程序中可能存在的漏洞，还要检查电子组态是否安全。

CertiK已经分析了电子公司的脆弱性。;的桌面应用程序。详情可以点击访问这篇文章。

以下是评估基于电子桌面的电子钱包时要检查的审计类别:

应用程序使用什么版本的电子？

应用程序是否加载远程内容？

应用程序是否禁用 "节点集成 "和 "enableRemoteModule "？

应用程序是否启用了 "上下文隔离和， "沙盒 "和 "网络安全与技术选项？

应用程序是否允许用户从当前钱包页面跳转到同一窗口中的任何外部页面？

应用程序是否实施了有效的内容安全策略？

预加载脚本是否包含可能被滥用的代码？

应用程序是否将用户输入直接传递给一个危险的函数(比如 "开放外部 ")?

应用程序会制定不安全的自定义协议吗？

服务器端漏洞检查列表

我们测试过的cryptowallet应用程序中，超过一半没有集中式服务器，它们直接连接到节点。

CertiK技术团队认为这是一种减少攻击面和保护用户的方法。;隐私。

但是，如果应用程序希望为客户提供除帐户管理和令牌传输之外的更多功能，那么应用程序可能需要一个具有数据库和服务器端代码的集中式服务器。

服务器组件要测试的项目高度依赖于应用程序的特征。

根据调研和与客户接触中发现的服务器端漏洞，我们整理了以下漏洞清单。当然，它并不包含所有可能的服务器端漏洞。

认证和授权

KYC及其有效性

比赛条件

云服务器配置错误

服务器配置错误

不安全直接对象引用(IDOR)

服务器请求伪造(SSRF)

不安全的文件上传

任何类型的注入(SQL、命令、模板)漏洞

任意文件读/写

业务逻辑错误

速度限制

拒绝服务

信息泄露

摘要

随着技术的发展，黑客的欺诈和攻击手段越来越多样化。

CertiK安全技术团队希望通过分享加密钱包的隐患，让用户对数字货币钱包的安全问题有更清晰的认识，提高警惕。

目前很多开发团队对安全的重视程度远远低于对业务的重视程度，对自己的钱包产品没有足够的安全保护。C

3、网络安全未来可以从事的岗位是什么？

你需要知道的是， 美国的安全部门分为学术安全和产业安全，产业安全可以细分为甲方和乙方。;美国安全和党B amp；;的安全性。你能从事的岗位就在这几类。首先你要想好走哪条路，然后选择细分的岗位。

1.学术安全。最典型的成为大学老师或者科研机构研究员的都是从事理论研究的，比如网络中一些新兴协议的安全性，或者一些加密传输算法。注意，这些东西肯定不是现实中广泛使用的，都是面向未来的安全。你的输出可能是一个发明专利，一个论文本，或者一个课件，你会获得更多的荣誉感。也许在未来几年或几十年，你所倡导的会成为现实，但对当前人类生活、国家或单位经济影响不大。

2.工业安全。相对来说，这是现在进行时的安全性。具体职位是某企业或部门的工程师。当然，你的工资肯定是学术工作的几倍，但也预示着你会更忙。当然，你的工作可能很难被外界知道，因为从事工业安全一般需要签订保密协议。你的作品涉及公司或机构的秘密，永远不会公开发表，它可以 你的简历中甚至不会提到它。关于甲方和乙方的区别，我们后面会分别说:

(1)甲方是安全的。乙方习惯被称为甲方的父亲，最大的当然是部门，比如国安、公安等机关的公务员，还有很多企事业单位的保安员工。如果互联网公司有自己的安全部门，会有相应的安全工程师岗位。他们的共同点是 "国防与国防在部分安全中，它保证、企业安全或产品网站的安全。在甲方，你可能更熟悉业务，更了解网络安全的方方面面。所谓的 "三分技术七分管理 "指甲方；;你也可以接触到很多很多乙方的保安人员。

(2)乙方安全。B党招募的大部分人美国安全公司ar

4、渗透有必要学pwn吗？

，这是必要的，

首先，如果渗透的话，比如脏牛，线上版本大多不稳定。如果有一定的pwn能力，可以自己调试。

举个例子，作为一个网狗，如果有一天代码层面没有可以审计和挖掘的漏洞，那么只能挖掘底层漏洞。

总之网狗越来越难了Orz

网站栏目：审计学码？（什么是代码审计？）
转载注明：http://www.mswzjz.cn/qtweb/news10/3910.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能