EN

交易所安全审计

慢雾安全团队精于传统网络攻防,团队成员的相关成果也得到过全球相关顶级机构的高度认可,但交易所安全远不仅传统网络安全,慢雾安全团队在区块链世界独特的私钥架构安全方面也同样拥有丰富且领先的实战经验。慢雾的相关安全服务已经覆盖超数十家行业内顶级的数字资产交易平台,无论是中心化还是去中心化,无论支持何种币种。

流程

交易所安全审计项

序号 审计大类 审计子类
1 开源情报采集 域名 Whois 信息采集
真实 IP 发现
子域探测
邮件服务探测
证书信息采集
Web 服务组件指纹采集
端口服务组件指纹采集
C 段服务采集
人员组织结构采集
GitHub 源码泄露发现
Google Hack 探测
人员隐私泄露发现
2 App 安全审计 App 环境检测审计
代码反编译检测
文件存储安全检测
通信加密检测
权限检测
接口安全测试
业务安全检测
WebKit 安全检测
App 缓存安全检测
App Webview DOM 安全测试
SQLite 存储安全审计
3 服务端安全配置审计 CDN 服务探测
网络基础设施配置测试
应用平台配置管理测试
文件扩展名解析测试
备份、未链接文件测试
枚举管理接口测试
HTTP 方法测试
HTTP 严格传输测试
Web 前端跨域策略测试
Web 安全响应头部测试
弱口令及默认口令探测
管理后台发现
4 节点安全审计 节点配置安全检测
节点数据同步安全检测
节点交易安全审计
节点通信安全检测
节点开源代码安全审计
5 身份鉴别管理审计 角色定义测试
用户注册过程测试
帐户权限变化测试
帐户枚举测试
弱用户名策略测试
6 认证与授权审计 口令信息加密传输测试
默认口令测试
帐户锁定机制测试
认证绕过测试
记住密码功能测试
浏览器缓存测试
密码策略测试
安全问答测试
密码重置测试
OAuth 等认证模型测试
权限提升测试
授权绕过测试
双因素认证绕过测试
Hash 健壮性测试
7 会话管理审计 会话管理绕过测试
Cookies 属性测试
会话固定测试
会话令牌泄露测试
跨站点请求伪造(CSRF)测试
登出功能测试
会话超时测试
会话令牌重载测试
8 输入安全审计 跨站脚本(XSS)测试
模板注入测试
第三方组件漏洞测试
HTTP 参数污染测试
SQL 注入测试
XXE 实体注入测试
反序列化漏洞测试
SSRF 漏洞测试
代码注入测试
本地文件包含测试
远程文件包含测试
命令执行注入测试
缓冲区溢出测试
格式化字符串测试
9 业务逻辑审计 接口安全测试
请求伪造测试
完整性测试
超时检测
接口频率限制测试
工作流程绕过测试
应用误用防护测试
非预期文件类型上传测试
恶意文件上传测试
10 密码学安全审计 弱 SSL/TLS 加密,不安全的传输层防护测试
SSL Pinning 安全部署测试
非加密信道传输敏感数据测试
11 热钱包架构安全审计 -
12 私钥管理系统安全审计 -

部分客户展示