區塊鏈安全入門與實戰

劉林炫,鄧永凱,萬鈞,張繼龍著

  • 出版商: 機械工業
  • 出版日期: 2021-01-01
  • 定價: $594
  • 售價: 8.5$505
  • 語言: 簡體中文
  • 頁數: 367
  • 裝訂: 平裝
  • ISBN: 7111671511
  • ISBN-13: 9787111671510
  • 相關分類: 區塊鏈 Blockchain
  • 立即出貨

買這商品的人也買了...

商品描述

本書介紹區塊鏈安全問題與防禦方法,結合具體實戰案例,幫助讀者迅速上手區塊鏈安全測試,
增強網絡安全意識,掌握在實際開發過程中如何安全地開發區塊鏈相關應用。

本書主要內容共9章:

第1章介紹區塊鏈生態系統;

第2章介紹交易平台的安全,包括數字貨幣交易平台各方面的安全問題;

第3章介紹智能合約的安全,對以太坊智能合約存在的常見安全漏洞進行全面、系統的分析;

第4章介紹EOS智能合約的安全問題,分析針對EOS的攻擊事件以及安全缺陷的修復方式;第5章對數字貨幣的錢包進行分析並揭示其中的安全問題;

第6章介紹公鏈自身的安全,包括共識安全、源碼安全、RPC接口安全和P2P的網絡安全鍊等;

第7章介紹礦機與礦池的安全問題;

第8章介紹區塊鏈DeFi安全;

第9章給出區塊鏈安全分析案例。

最後的附錄列出了數字貨幣交易平台安全的速查表,方便讀者在實踐中自查。

作者簡介

劉林炫( Hyun )

零時科技安全團隊負責人,CAS大中華區區塊鏈安全小組專家,曾就職於綠盟科技,
為多個國家重點項目提供支持,包括進行大型網絡攻防演練,參與過多項行業安全編碼標準以及區塊鏈服務安全標準的撰寫。
在傳統網絡安全、工控安全和區塊鏈安全方面都有豐富的實戰經驗,特別是在公鏈安全、
聯盟鏈安全、礦機礦池安全等方面,都有過深入研究。

鄧永凱( xfkxfk )

零時科技創始人及CEO,具有十餘年網絡安全攻防經驗的資深網絡安全專家,國內頂*安全白帽子,
CSA大中華區區塊鏈安全小組專家,AML技術與安全組領軍人物。
在滲透測試、漏洞挖掘、代碼審計、安全開發等方向均有豐富的實戰經驗,目前專注於區塊鏈安全方向,
多次擔任國內網絡安全大會演講嘉賓,曾任網絡安全攻防電子雜誌《安全參考》《書安》總編輯。


萬鈞( WeaponX )

零時科技技術負責人,網絡安全高級講師。專注於研究二進制安全與區塊鏈安全,
曾獨立挖掘過多個IoT設備和常用軟件的漏洞,並獲得CVE與廠商致謝。
有豐富的網絡安全攻防經驗,參加過多個大型網絡攻防演練。
在區塊鏈安全領域,對公鏈、智能合約、虛擬機安全等方面有深入研究。


張繼龍( LS )

零時科技安全團隊核心成員,在滲透測試、漏洞挖掘、區塊鏈安全、智能合約安全等方面具有豐富的攻防實戰經驗,
審計過數百份智能合約,對智能合約的安全開發、安全審計、反編譯、逆向分析等都有著豐富的經驗。

目錄大綱

目錄
對本書的讚譽

前言
第1章區塊鏈簡介 1
1.1 區塊鏈的誕生與演化 1
1.2 區塊鏈的分類 2
1.3 區塊鏈的生態 3
1.3.1 比特幣 3
1.3.2 以太坊 4
1.3.3 聯盟鏈 7
1.3.4 智能合約 8
1.4 本章小結 8

第2章交易平台的安全 9
2.1 數字貨幣交易平台及安全 9
2.2 信息收集11
2.2.1 測試列表11
2.2.2 案例分析12
2.2.3 安全建議17
2.3 社會工程18
2.3.1 測試列表18
2.3.2 案例分析19
2.3.3 安全建議21
2.4 業務邏輯22
2.4.1 測試列表22
2.4.2 案例分析23
2.4.3 安全建議29
2.5 輸入輸出29
2.5.1 測試列表30
2.5.2 案例分析30
2.5.3 安全建議36
2.6 安全配置36
2.6.1 測試列表37
2.6.2 案例分析37
2.6.3 安全建議41
2.7 信息洩露41
2.7.1 測試列表41
2.7.2 案例分析42
2.7.3 安全建議48
2.8 接口安全48
2.8.1 測試列表48
2.8.2 案例分析49
2.8.3 安全建議52
2.9 用戶認證安全52
2.9.1 測試列表52
2.9.2 案例分析53
2.9.3 安全建議55
2.10 App安全56
2.10.1 測試列表56
2.10.2 案例分析57
2.10.3 安全建議67
2.11 本章小結68

第3章智能合約的安全69
3.1 以太坊智能合約的安全問題69
3.2 整數溢出漏洞70
3.3 重入漏洞84
3.4 假充值漏洞92
3.5 短地址漏洞96
3.6 tx.orgin身份認證漏洞100
3.7 默認可見性103
3.8 代碼執行漏洞109
3.9 條件競爭漏洞118
3.10 未驗證返回值漏洞121
3.11 浮點數及精度安全漏洞124
3.12 拒絕服務漏洞126
3.13 不安全的隨機數133
3.14 錯誤的構造函數139
3.15 時間戳依賴漏洞145
3.16 意外的Ether漏洞147
3.17 未初始化指針漏洞150
3.18 本章小結155

第4章EOS智能合約的安全156
4.1 EOS簡介156
4.1.1 共識機制157
4.1.2 智能合約157
4.2 EOS智能合約的漏洞及預防方法157
4.2.1 轉賬通知偽造157
4.2.2 內聯交易回滾163
4.2.3 黑名單交易回滾165
4.2.4 弱隨機數167
4.2.5 整型溢出178
4.2.6 hard_fail狀態181
4.3 本章小結183

第5章錢包的安全184
5.1 數字貨幣錢包簡介184
5.1.1 軟件錢包185
5.1.2 硬件錢包186
5.1.3 紙質錢包187
5.1.4 錢包的安全問題187
5.2 軟件錢包的安全審計188
5.2.1 App客戶端安全188
5.2.2 服務端安全194
5.2.3 錢包節點安全195
5.2.4 第三方錢包安全198
5.2.5 會話與認證安全201
5.2.6 業務邏輯安全205
5.2.7 傳輸安全206
5.3 硬件錢包的安全審計208
5.3.1 軟件攻擊208
5.3.2 供應鏈攻擊208
5.3.3 邊信道攻擊209
5.3.4 設備數據存儲安全211
5.4 本章小結211

第6章公鏈的安全212
6.1 比特幣的基本概念和相關技術212
6.1.1 比特幣錢包212
6.1.2 私鑰和公鑰213
6.1.3 傳統銀行的交易過程214
6.1.4 比特幣的交易過程214
6.1.5 如何防止重複支付219
6.1.6 區塊220
6.2 聯盟鏈221
6.3 共識機制的安全223
6.3.1 PoW共識機制及安全問題223
6.3.2 PoS共識機制及安全問題231
6.3.3 DPoS共識機制及安全問題233
6.3.4 PBFT共識機制及安全問題234
6.4 靜態源碼安全236
6.4.1 比特幣的校驗機制—默克爾樹236
6.4.2 比特幣DoS漏洞分析一238
6.4.3 比特幣任意盜幣漏洞分析239
6.4.4 比特幣DoS漏洞分析二246
6.4.5 小結247
6.5 RPC安全248
6.5.1 以太坊中RPC接口的調用249
6.5.2 keystore 252
6.5.3 以太坊的交易流程254
6.5.4 RPC存在的安全問題257
6.5.5 小結260
6.6 P2P安全261
6.6.1 比特幣中的P2P協議261
6.6.2 P2P存在的安全問題264
6.6.3 小結270
6.7 本章小結271

第7章礦機與礦池的安全272
7.1 礦機安全272
7.1.1 礦機分類272
7.1.2 礦機相關的安全問題274
7.2 礦池安全281
7.2.1 礦池分類281
7.2.2 礦池相關的安全問題283
7.2.3 小結292
7.3 本章小結293

第8章區塊鏈DeFi安全294
8.1 簡介294
8.1.1 DeFi與傳統金融的區別295
8.1.2 區塊鏈DeFi的組成296
8.1.3 DeFi的未來發展300
8.2 區塊鏈DeFi安全問題及應對方案301
8.2.1 DeFi安全問題301
8.2.2 DeFi安全事件案例分析303
8.2.3 DeFi安全防禦319
8.3 本章小結320

第9章區塊鏈安全案例分析321
9.1 數字貨幣交易平台的滲透測試321
9.1.1 Web平台測試321
9.1.2 釣魚網站搭建322
9.1.3 文件上傳324
9.2 智能合約實戰環境搭建325
9.2.1 JavaScript VM 326
9.2.2 Injected Web3 327
9.2.3 Web3 Provider 332
9.3 以太坊智能合約整數溢出漏洞實戰335
附錄A 區塊鏈安全大事件紀年表344
附錄B 數字貨幣交易平台安全速查表347