链知道手机版手机版 链知道官方公众号官方公众号 登录 注册
虚拟币:471 代币:261 交易平台:106 24小时成交量:¥4353.76亿 总市值:¥24514.26亿 GBI指数:4406.48
首页 > 资讯 > 区块链安全 > 玄猫安全发布:「链安全服务解决方案」

玄猫安全发布:「链安全服务解决方案」

作者:区块链安全 时间:2019-04-25 15:42:36 阅读:432

>>>>前言

“区块链”技术是一种密码学上安全的分布式账本技术。它在金融领域的信贷,供应链领域的管理等方面都有很好的前景。在区块链迅速发展的背景下,我国政府也愈发的重视与关注这项新型技术。据统计,截止2018年3月底,全国24个省发布政策指导信息,开展对区块链产业链的布局。区块链技术虽然被称为不可篡改,不可伪造的安全技术,但是由于这是一种新型技术,不可避免会在迭代中产生种种安全问题,这在任何软件和系统中都不可避免的。

 玄猫安全发布:「链安全服务解决方案」

链安全脆弱性被利用后会产生很大的安全风险,突出的安全风险如:协议漏洞、流量攻击、双花攻击、重放攻击、恶意节点的威胁、不安全的API接口、智能合约运行时受到攻击、随机数、共识可预测。 

为此玄猫科技深耕区块链安全,为多个合作方提供多个高中危漏洞。并依靠多个项目的经验总结,归纳出了一套链安全审计方案。

>>>>链安全审计维度

要进行链安全审计,首先要能够理解整个区块链架构。目前市面上存在多种架构模型,如九层模型、五层模型、四层模等等,均有其合理性,而不同的链类型,又有不同的模块。因此玄猫基于通用性、应用性等原则,提出了四层技术架构,分别为数据层,网络层,扩展层,应用层。作为我们的安全分析整体思路基础。如图1。

玄猫安全发布:「链安全服务解决方案」

图1 区块链技术架构

同时,我们也对每一个分层及模块,梳理出需要重视的审计点,为我们的整体审计提供了整体指导性方向。如图2。

玄猫安全发布:「链安全服务解决方案」

图2 链安全审计维度

>>>>审计流程

我们亦有非常完善的项目流程,审计服务主要分为四个阶段,包括测试前期准备阶段、审计阶段实施、复测阶段实施以及成果汇报阶段

玄猫安全发布:「链安全服务解决方案」

图3-2-1

其中的内容如下:

玄猫安全发布:「链安全服务解决方案」

图3-2-2

1. 信息收集:代码审计小组进行必要的信息收集,包括本次代码审计要求、稳定版本的源代码。

2. 工具审计:确定工具审计的标准和各项配置参数,使用Fortify等工具检测目标源代码,对工具检测的结果进行人工核查,筛选,分析,汇总。

3. 人工审计:对客户要求人工审计的重点代码采用人工分析的方法,对代码中的安全漏洞进行审计。

4. 综合汇总:将工具审计和人工审计的结果进行对比汇总,验证并整理工具审计结果。

5. 输出报告:代码审计小组根据测试的结果编写直观的代码审计服务报告。

6. 回归测试:待客户对漏洞修复后进行代码复查,保证漏洞修复,问题闭环。

>>>>区块链审计项与风险对应表

A.1 数据层安全

玄猫安全发布:「链安全服务解决方案」

A.2 网络层安全

玄猫安全发布:「链安全服务解决方案」

A.3 扩展层安全

玄猫安全发布:「链安全服务解决方案」

A.4 应用层安全

玄猫安全发布:「链安全服务解决方案」

>>>>关于玄猫安全

玄猫安全发布:「链安全服务解决方案」


登录 发贴

0人参与评论最新评论