@sswsdsn
2019-07-07T04:38:18.000000Z
字数 631
阅读 331
长亭交易所安全审计
用户系统安全
| 测试点 |
具体问题 |
级别 |
| JWT安全 |
网站登录使用JWT校验,是否存在XSS、CSRF等其他情况下的安全漏洞 |
高 |
| 密码存储 |
密码加密算法,能否暴力破解 |
高 |
| 验证码破解 |
包括手机、图形等验证码逻辑问题,是否能简单破解 |
高 |
资金安全
| 测试点 |
具体问题 |
级别 |
| 各币种假充值 |
针对业界已有问题和长亭的经验,尝试假充值 |
高 |
| 各币种假划转 |
交易、游戏可以相互内网划转,尝试假划转 |
高 |
| 各币种假提现 |
是否能构造实际成功但是以为失败的交易,重试导致两次提现 |
高 |
API安全
| 测试点 |
具体问题 |
级别 |
| 浮点数问题 |
浮点数是否会溢出,是否有精度问题 |
高 |
| 授权API访问限制 |
需要授权的API是否可以绕过授权 |
高 |
| 内部API访问限制 |
内部API外网是否可以访问 |
高 |
| 并发安全 |
并发情况下,请求结果是否和预期一致,是否data race |
高 |
| 高压安全 |
高压情况下,请求结果是否和预期一致 |
高 |
数据库安全
| 测试点 |
具体问题 |
级别 |
| sql注入 |
检测系统sql注入 |
高 |
| 其他脱库问题 |
常见系统漏洞检测 |
高 |
服务器安全
| 测试点 |
具体问题 |
级别 |
| 服务器登陆 |
是否有可能通过一个暴露的端口和有漏洞的进程获得shell。包括应用服务器,数据库服务器,热钱包服务器 |
高 |
