区块链安全测试
前言
- 区块链如何进行安全测试?
- 如何挖掘区块链源码中的安全漏洞?
- 如何验证可能存在的安全的漏洞?
这些,都是想进入区块链安全领域会遇到的一些常见问题。区块链安全与web安全有很大的不同,但是有些地方却与传统安全有相通之处,比如拒绝服务,资源消耗,错误处理。
范围
本文主要讨论以go语言写的区块链源码中的安全问题。主要原因是golang中许多小工具是方便测试的,如gotest, go fuzz等。
架构
在进行测试之前,心里面有一个测试的蓝图很重要。正如web渗透测试需要进行信息收集工作一样,当遇到一条新的区块链,需要尽可能收集区块链的信息。而区块链之间一般都有一些共通的地方,了解区块链的架构有助于安全测试的进行。
- 账户(account)
- 区块数据(block)
- 存储(database)
- 节点(node)
- 节点之间的交互,seed节点寻找(P2P)
- 节点同步(共识)
- 共识机制的实现(consensus)
- 接口(可fuzz)
方法
类似于源码审计。了解架构和常见的漏洞,直接找到区块链的相关部分代码。通过写go_test文件来学习和验证自己的所想。可视化相关的数据结构(通过t.Log()打印出来)。在函数之间跳转和定位(通过Go_land进行加载)。通过go-fuzz半自动化进行fuzz测试。通过历史漏洞(github
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/qkl-aq/7691.html