避坑指南:常见合约安全漏洞盘点 (blog.nsfocus.net)

【简介】

相较于传统合约,智能合约不仅解决了信任问题,还承载着巨额数字资产交易。伴随着过去十年智能合约的爆发式增长,智能合约安全问题引发的各类安全事件层出不穷,据统计,目前因智能合约编码不当和安全漏洞造成的经济损失每年高达数十亿美元。因此,本文以以太坊智能合约为例,选取了一些常见合约安全漏洞,并结合过往发生的安全事件对其进行回顾分析,想以此来警醒各位读者,重视合约安全,避免漏洞“踩坑”。

点击查看全文 >>

@技术头条 2023-02-27 23:13分享 / 原作者微博:@绿盟科技 / 0个评论
赞过的人: @IT技术博客大学习
要不要再学学下面的文章?
盘点乌克兰危机中的网络冲突及其启示 (blog.nsfocus.net)
乌克兰危机的网络战是有史以来第一次较大规模的网络战,也是第一次较大规模的认知战。攻击手段以拒绝服务、信息窃取、舆情舆论为主,拒绝服务最为简单直接,舆情舆论可提振自身/瓦解敌方士气;被攻击目标从军、政、基础设施泛化到普通民用设施/覆巢无完卵/趁火打劫。

本次乌克兰危机中,网络战的烈度相对较低,整体攻击效果也不大。其中,俄罗斯除在战前和开战初期对乌克兰的信息系统造成一定的影响外,中后期的影响很小。而乌克兰和西方反俄势力的网络攻击,对于俄罗斯的影响也很有限,其中乌克兰军民通过发送俄军官所在地,导致多名俄军官被无人机精确斩首,但这不属于网络战范畴,属于战场情报。
by @技术头条 2023-02-27 23:12 分享 查看详情
一种 Foxit Reader 漏洞利用思路探索 (paper.seebug.org)
在 Adobe Reader 以及旧版本的 Foxit Reader 中,通常会利用 JS 的 ArrayBuffer 来布局内存并最终实现任意代码执行。然而,最新版本 Foxit Reader 中的 ArrayBuffer 已经被禁用,这导致漏洞利用的难度很大,目前还未见到网上有公开的漏洞利用方案。

这篇文章主要总结我在研究 Foxit Reader 漏洞利用的过程中积累的一些经验,从 Foxit Reader 的一套内存管理机制的角度出发,探索潜在的漏洞利用方式,为大家提供一些可能的思路。
by @技术头条 2023-02-12 14:15 分享 查看详情
基于代码属性图的自动化漏洞挖掘实践 (paper.seebug.org)
应用程序分析技术挖掘应用漏洞一直以来都是学术界和工业界的研究重点之一。从最初的正则匹配到最近的代码属性图挖掘方案,国内外有很多来自不同阶段的安全工具或商业产品来发掘程序代码的安全问题。在 Java 语言方面,业界已经有了不少出色的产品,如 CodeQL 等,但是,多数产品考虑的角度是从甲方视角或开源视角出发的,也就是产品的输入大部分是以源码为主。然而,我们安全研究人员更多面对地是编译后的项目,比如编译后的 WAR、第三方依赖 JAR 等形式。对于此类形式目标的漏洞挖掘,当前存在的审计产品或多或少都有一些限制,比如最近几年很火的 CodeQL 就无法直接处理此类形式的目标代码。当前,安全研究人员大多以人工或一些辅助工具来完成此类形式项目的漏洞挖掘。很明显,这种方式审计效率是非常低的,而且,审计结果也很容易遗漏。为此,需要一款能解决此类问题的工具。
by @技术头条 2023-02-12 14:12 分享 查看详情
【公益译文】了解、预防、修复:开源漏洞讨论框架 (blog.nsfocus.net)
开源软件的安全性引起了业界关注,这并不奇怪。在实施相关安全方案时,需要对过程中的挑战与合作达成共识。这个问题很复杂,涉及方方面面:供应链、依赖关系管理、身份和构建管道。问题捋清后,解决方案也就呼之欲出。为方便业界讨论开源软件中的漏洞以及首要着眼点,我们提出了一个框架(“了解、预防、修复”),内容包括:

• 元数据和身份标准共识:行业需要就解决这些复杂问题的基本原则达成共识。在元数据细节和身份方面统一看法后,将推动自动化,减少更新软件所需的工作量,并将漏洞的影响降至最低。

• 提高关键软件的透明度,加强对这些软件的审查:对于对安全至关重要的软件,我们需要就开发过程达成一致,确保充分审查,过程透明,避免单方面更改,最终产生语义清晰的可验证官方版本。
by @技术头条 2022-12-24 23:34 分享 查看详情
Replication(上):常见复制模型&分布式系统挑战 (tech.meituan.com)
分布式系统设计是一项十分复杂且具有挑战性的事情。其中,数据复制与一致性更是其中十分重要的一环。数据复制领域概念庞杂、理论性强,如果对应的算法没有理论验证大概率会出错。如果在设计过程中,不了解对应理论所解决的问题以及不同理论之间的联系,势必无法设计出一个合理的分布式系统。
by @技术头条 2022-09-03 23:25 分享 查看详情
Docker镜像漏洞扫描工具Trivy (www.ipcpu.com)
Trivy是一个简单易用并且全面的容器漏洞扫描程序。
Trivy可检测操作系统软件包(Alpine,RHEL,CentOS等)和应用程序依赖项(Bundler,Composer,npm,yarn等)的漏洞。
Trivy很容易使用,只要安装二进制文件,就可以扫描了。扫描只需指定容器的镜像名称。与其他镜像扫描工具相比,例如Clair,Anchore Engine,Quay相比,Trivy在准确性、方便性和对CI的支持等方面都有着明显的优势。
by @技术头条 2022-07-31 23:59 分享 查看详情
使用Flex实现常见布局的思路总结 (mp.weixin.qq.com)
flex全称Flexible Box模型,顾名思义就是灵活的盒子,不过一般都叫弹性盒子,所有PC端及手机端现代浏览器都支持,所以不用担心它的兼容性,有了这玩意,妈妈再也不用担心我们的布局。
by @code小生 2022-07-24 10:59 分享 查看详情
8种常见SQL错误用法 (mp.weixin.qq.com)
分页查询是最常用的场景之一,但也通常也是最容易出问题的地方。比如对于下面简单的语句,一般 DBA 想到的办法是在 type, name, create_time 字段上加组合索引。这样条件排序都能有效的利用到索引,性能迅速提升。
by @code小生 2022-03-24 09:19 分享 查看详情
常见代码重构技巧(非常实用) (mp.weixin.qq.com)
项目在不断演进过程中,代码不停地在堆砌。如果没有人为代码的质量负责,代码总是会往越来越混乱的方向演进。当混乱到一定程度之后,量变引起质变,项目的维护成本已经高过重新开发一套新代码的成本,想要再去重构,已经没有人能做到了。
by @code小生 2022-01-09 23:11 分享 查看详情
互联网常见术语(缩写)一览 (forum.lovejade.cn)
UGC 互联网术语,全称为 User Generated Content,也就是用户生成内容,即用户原创内容。UGC 的概念最早起源于互联网领域,即用户将自己原创的内容通过互联网平台进行展示或者提供给其他用户。UGC 是伴随着以提倡个性化为主要特点的 Web2.0 概念而兴起的,也可叫做 UCC(User-created Content)。它并不是某一种具体的业务,而是一种用户使用互联网的新方式,即由原来的以下载为主变成下载和上传并重。
by @杨琼璞 2021-11-01 20:20 分享 查看详情
使用微博登录,分享你的文章到本站