一線開發(fā)團隊傾力打造,多位專家聯(lián)袂推
定 價:99 元
- 作者:劉林炫 鄧永凱 萬鈞 張繼龍
- 出版時間:2021/1/1
- ISBN:9787111671510
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:F713.361.3
- 頁碼:368
- 紙張:
- 版次:
- 開本:16開
本書介紹區(qū)塊鏈相關(guān)環(huán)節(jié)的安全審計,結(jié)合具體的實戰(zhàn)案例,幫助讀者迅速上手區(qū)塊鏈安全測試,增強網(wǎng)絡(luò)安全意識。通過本書的學(xué)習(xí),讀者能夠?qū)W習(xí)區(qū)塊鏈行業(yè)相關(guān)安全、交易平臺安全、智能合約安全、區(qū)塊鏈軟硬件錢包安全、鏈安全以及礦機和礦池安全,掌握在實際過程中如何安全的開發(fā)區(qū)塊鏈相關(guān)應(yīng)用,對區(qū)塊鏈安全知根知底,知攻知防。主要內(nèi)容包括:區(qū)塊鏈生態(tài)簡介,交易平臺、智能合約、錢包、鏈等安全審計,最后介紹礦機和礦池的安全問題。本書的特點是實用性強,項目案例豐富,與新技術(shù)緊密聯(lián)系,適合于區(qū)塊鏈相關(guān)從業(yè)人員、安全研究人員、高等院校相關(guān)專業(yè)師生,也可作為企業(yè)培訓(xùn)、職業(yè)學(xué)校的教材。
對本書的贊譽
序
前言
第1章 區(qū)塊鏈簡介 1
1.1 區(qū)塊鏈的誕生與演化 1
1.2 區(qū)塊鏈的分類 2
1.3 區(qū)塊鏈的生態(tài) 3
1.3.1 比特幣 3
1.3.2 以太坊 4
1.3.3 聯(lián)盟鏈 7
1.3.4 智能合約 8
1.4 本章小結(jié) 8
第2章 交易平臺的安全 9
2.1 數(shù)字貨幣交易平臺及安全 9
2.2 信息收集 11
2.2.1 測試列表 11
2.2.2 案例分析 12
2.2.3 安全建議 17
2.3 社會工程 18
2.3.1 測試列表 18
2.3.2 案例分析 19
2.3.3 安全建議 21
2.4 業(yè)務(wù)邏輯 22
2.4.1 測試列表 22
2.4.2 案例分析 23
2.4.3 安全建議 29
2.5 輸入輸出 29
2.5.1 測試列表 30
2.5.2 案例分析 30
2.5.3 安全建議 36
2.6 安全配置 36
2.6.1 測試列表 37
2.6.2 案例分析 37
2.6.3 安全建議 41
2.7 信息泄露 41
2.7.1 測試列表 41
2.7.2 案例分析 42
2.7.3 安全建議 48
2.8 接口安全 48
2.8.1 測試列表 48
2.8.2 案例分析 49
2.8.3 安全建議 52
2.9 用戶認證安全 52
2.9.1 測試列表 52
2.9.2 案例分析 53
2.9.3 安全建議 55
2.10 App安全 56
2.10.1 測試列表 56
2.10.2 案例分析 57
2.10.3 安全建議 67
2.11 本章小結(jié) 68
第3章 智能合約的安全 69
3.1 以太坊智能合約的安全問題 69
3.2 整數(shù)溢出漏洞 70
3.3 重入漏洞 84
3.4 假充值漏洞 92
3.5 短地址漏洞 96
3.6 tx.orgin身份認證漏洞 100
3.7 默認可見性 103
3.8 代碼執(zhí)行漏洞 109
3.9 條件競爭漏洞 118
3.10 未驗證返回值漏洞 121
3.11 浮點數(shù)及精度安全漏洞 124
3.12 拒絕服務(wù)漏洞 126
3.13 不安全的隨機數(shù) 133
3.14 錯誤的構(gòu)造函數(shù) 139
3.15 時間戳依賴漏洞 145
3.16 意外的Ether漏洞 147
3.17 未初始化指針漏洞 150
3.18 本章小結(jié) 155
第4章 EOS智能合約的安全 156
4.1 EOS簡介 156
4.1.1 共識機制 157
4.1.2 智能合約 157
4.2 EOS智能合約的漏洞及預(yù)防方法 157
4.2.1 轉(zhuǎn)賬通知偽造 157
4.2.2 內(nèi)聯(lián)交易回滾 163
4.2.3 黑名單交易回滾 165
4.2.4 弱隨機數(shù) 167
4.2.5 整型溢出 178
4.2.6 hard_fail狀態(tài) 181
4.3 本章小結(jié) 183
第5章 錢包的安全 184
5.1 數(shù)字貨幣錢包簡介 184
5.1.1 軟件錢包 185
5.1.2 硬件錢包 186
5.1.3 紙質(zhì)錢包 187
5.1.4 錢包的安全問題 187
5.2 軟件錢包的安全審計 188
5.2.1 App客戶端安全 188
5.2.2 服務(wù)端安全 194
5.2.3 錢包節(jié)點安全 195
5.2.4 第三方錢包安全 198
5.2.5 會話與認證安全 201
5.2.6 業(yè)務(wù)邏輯安全 205
5.2.7 傳輸安全 206
5.3 硬件錢包的安全審計 208
5.3.1 軟件攻擊 208
5.3.2 供應(yīng)鏈攻擊 208
5.3.3 邊信道攻擊 209
5.3.4 設(shè)備數(shù)據(jù)存儲安全 211
5.4 本章小結(jié) 211
第6章 公鏈的安全 212
6.1 比特幣的基本概念和相關(guān)技術(shù) 212
6.1.1 比特幣錢包 212
6.1.2 私鑰和公鑰 213
6.1.3 傳統(tǒng)銀行的交易過程 214
6.1.4 比特幣的交易過程 214
6.1.5 如何防止重復(fù)支付 219
6.1.6 區(qū)塊 220
6.2 聯(lián)盟鏈 221
6.3 共識機制的安全 223
6.3.1 PoW共識機制及安全問題 223
6.3.2 PoS共識機制及安全問題 231
6.3.3 DPoS共識機制及安全問題 233
6.3.4 PBFT共識機制及安全問題 234
6.4 靜態(tài)源碼安全 236
6.4.1 比特幣的校驗機制—默克爾樹 236
6.4.2 比特幣DoS漏洞分析一 238
6.4.3 比特幣任意盜幣漏洞分析 239
6.4.4 比特幣DoS漏洞分析二 246
6.4.5 小結(jié) 247
6.5 RPC安全 248
6.5.1 以太坊中RPC接口的調(diào)用 249
6.5.2 keystore 252
6.5.3 以太坊的交易流程 254
6.5.4 RPC存在的安全問題 257
6.5.5 小結(jié) 260
6.6 P2P安全 261
6.6.1 比特幣中的P2P協(xié)議 261
6.6.2 P2P存在的安全問題 264
6.6.3 小結(jié) 270
6.7 本章小結(jié) 271
第7章 礦機與礦池的安全 272
7.1 礦機安全 272
7.1.1 礦機分類 272
7.1.2 礦機相關(guān)的安全問題 274
7.2 礦池安全 281
7.2.1 礦池分類 281
7.2.2 礦池相關(guān)的安全問題 283
7.2.3 小結(jié) 292
7.3 本章小結(jié) 293
第8章 區(qū)塊鏈DeFi安全 294
8.1 簡介 294
8.1.1 DeFi與傳統(tǒng)金融的區(qū)別 295
8.1.2 區(qū)塊鏈DeFi的組成 296
8.1.3 DeFi的未來發(fā)展 300
8.2 區(qū)塊鏈DeFi安全問題及應(yīng)對方案 301
8.2.1 DeFi安全問題 301
8.2.2 DeFi安全事件案例分析 303
8.2.3 DeFi安全防御 319
8.3 本章小結(jié) 320
第9章 區(qū)塊鏈安全案例分析 321
9.1 數(shù)字貨幣交易平臺的滲透測試 321
9.1.1 Web平臺測試 321
9.1.2 釣魚網(wǎng)站搭建 322
9.1.3 文件上傳 324
9.2 智能合約實戰(zhàn)環(huán)境搭建 325
9.2.1 JavaScript VM 326
9.2.2 Injected Web3 327
9.2.3 Web3 Provider 332
9.3 以太坊智能合約整數(shù)溢出漏洞實戰(zhàn) 335
附錄A 區(qū)塊鏈安全大事件紀年表 344
附錄B 數(shù)字貨幣交易平臺安全速查表 347