一般場(chǎng)景：用戶代碼僅依賴原生庫，運(yùn)行環(huán)境選擇沙箱情況下，沙箱間相互立，用戶代碼導(dǎo)致的環(huán)境損害只會(huì)作用于單一沙箱，不會(huì)影響到其他沙箱及底層系統(tǒng)的正常使用。
目前移動(dòng)互聯(lián)網(wǎng)中，區(qū)塊鏈的網(wǎng)站越來越多，在區(qū)塊鏈安全上，很多都存在著網(wǎng)站漏洞，區(qū)塊鏈的提幣，會(huì)員賬號(hào)的存儲(chǔ)性XSS截取漏洞，賬號(hào)安全，等等關(guān)于這些區(qū)塊鏈的漏洞，我們SINE安全對(duì)其進(jìn)行了整理與總結(jié)。目前整個(gè)區(qū)塊鏈網(wǎng)站安全市場(chǎng)的需求是蠻大的，很多區(qū)塊鏈網(wǎng)站，也叫數(shù)字平臺(tái)，以及數(shù)字，虛擬錢包，區(qū)塊鏈錢包，整體上的區(qū)塊鏈網(wǎng)站架構(gòu)是分5個(gè)層，一層是區(qū)塊鏈的應(yīng)用層：分發(fā)行機(jī)制，分配機(jī)制。第二層是激勵(lì)層，第三層是共識(shí)層：POW，第四層是P2P網(wǎng)絡(luò)，區(qū)塊鏈傳播機(jī)制，安全驗(yàn)證機(jī)制。第五層就是數(shù)據(jù)層：分區(qū)塊數(shù)據(jù)，鏈?zhǔn)浇Y(jié)構(gòu)，數(shù)字簽名，哈希函數(shù)，Merkle樹，非對(duì)稱加密。
在我們SINE安全對(duì)區(qū)塊鏈網(wǎng)站進(jìn)行安全檢測(cè)，與安全滲透的過程中，發(fā)現(xiàn)很多網(wǎng)站漏洞，針對(duì)于區(qū)塊鏈漏洞我們總結(jié)如下：一般出現(xiàn)網(wǎng)站漏洞的地方存在于網(wǎng)站的邏輯漏洞，在會(huì)員注冊(cè)，會(huì)員登錄，區(qū)塊鏈管理：像充幣，轉(zhuǎn)幣，提幣。委托交易，買入賣出（法幣，，usdt等等）賬戶的密碼安全（密碼，手機(jī)短信驗(yàn)證），第三方支付平臺(tái)（API接口支付）。在實(shí)際安全測(cè)試當(dāng)中，比較容易發(fā)現(xiàn)的漏洞如下：

第二種：網(wǎng)站打開速度緩慢蜘蛛對(duì)于網(wǎng)站都有考察期，在這個(gè)考察期會(huì)不定期的抓去網(wǎng)站內(nèi)容，如果網(wǎng)站在高峰期打開速度很慢，或者是打不開，就會(huì)失去蜘蛛的信任以及好感，長期以往蜘蛛來咱們網(wǎng)站的次數(shù)就會(huì)更少了，排名估計(jì)也不理想。不過面對(duì)這種問題還是有解決方法的，首先我們查看一下自己服務(wù)器的穩(wěn)定性，看是不是那里出的問題，其次我們也要檢查一下自己的網(wǎng)站是不是被其他網(wǎng)站攻擊了，因?yàn)橐坏┰馐軇e人的攻擊，網(wǎng)站打不開就是必然的。很多論壇，像seowhy之類的，就曾經(jīng)因?yàn)榫W(wǎng)站被攻擊導(dǎo)致排名波動(dòng)。

管理內(nèi)部人員威脅
很多公司都意識(shí)到，員工滿懷怨恨地離開或被競(jìng)爭(zhēng)對(duì)手招募時(shí)，就會(huì)產(chǎn)生內(nèi)部人威脅風(fēng)險(xiǎn)：他們可能會(huì)利用手中的網(wǎng)絡(luò)訪問權(quán)加以，或?yàn)樾鹿椭饔杏脭?shù)據(jù)。撤銷該員工的訪問憑證應(yīng)成為降低此類風(fēng)險(xiǎn)的首要?jiǎng)幼鳌?br/>不過，還有個(gè)不太明顯但同樣危險(xiǎn)的時(shí)刻，那就是新員工入職的時(shí)候。人力資源部門當(dāng)然會(huì)對(duì)員工履歷做盡職調(diào)查，但他們未必會(huì)注意到該員工的所有關(guān)系或動(dòng)機(jī)。業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)可提供此類信息，防止惡意人員進(jìn)入公司。幾年前有家財(cái)富 500 強(qiáng)公司就遭遇了此類風(fēng)險(xiǎn)。當(dāng)時(shí)一名擬錄用的員工被發(fā)現(xiàn)與招募內(nèi)部人企業(yè)數(shù)據(jù)以作勒索的罪犯有聯(lián)系。一旦注意到該威脅，企業(yè)便可拒絕相關(guān)人士入職，并強(qiáng)化針對(duì)此類攻擊模式的安全防御。
新產(chǎn)品發(fā)布時(shí)也是公司的高風(fēng)險(xiǎn)期。知識(shí)產(chǎn)權(quán)代表著公司 80% 的價(jià)值，所以知識(shí)產(chǎn)權(quán)失可能招致災(zāi)難性后果。公司雇員自然擁有公司商業(yè)秘密和產(chǎn)品信息訪問權(quán)，少數(shù)情況下，這種會(huì)誘人犯罪。但真要有員工起了壞心了公司知識(shí)產(chǎn)權(quán)，他們還需要找到的渠道，而這往往涉及 DDW 或其他買賣被盜資產(chǎn)的非法在線社區(qū)。
近的案例中，F(xiàn)lashpoint 分析師在某網(wǎng)絡(luò)犯罪論壇上看到某跨國科技公司尚未發(fā)布的軟件源代碼遭掛牌出售。分析確認(rèn)該源代碼泄露的源頭就是該公司一名雇員，而接到通告后，該公司得以終止與該流氓雇員的合約，并采取補(bǔ)救措施保護(hù)了那款產(chǎn)品。其中關(guān)鍵在于，若非網(wǎng)絡(luò)罪犯在 DDW 上為該來路不正的軟件打出售賣廣告，這名流氓雇員確實(shí)成功繞過了內(nèi)部檢測(cè)。在業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)提供的上下文幫助下，很多雇員當(dāng)時(shí)看似無害的行為無疑可從另一個(gè)不同角度解讀。

綜合以上客戶網(wǎng)站的情況以及網(wǎng)站被黑的,我們sine安全立即對(duì)該公司網(wǎng)站dedecms的程序代碼進(jìn)行了詳細(xì)的代碼安全審計(jì),以及隱蔽的網(wǎng)站木馬后門進(jìn)行了清理，包括對(duì)網(wǎng)站漏洞修復(fù)，進(jìn)行了全面的網(wǎng)站署,對(duì)網(wǎng)站靜態(tài)目錄進(jìn)行了PHP腳本權(quán)限執(zhí)行限制,對(duì)dedecms的覆蓋變量漏洞進(jìn)行了修補(bǔ),以及上傳文檔繞過漏洞和dedecms的廣告文檔js調(diào)用漏洞進(jìn)行了深入的修復(fù)過濾了惡意內(nèi)容提交,清除了多個(gè)腳本木馬文檔，并對(duì)網(wǎng)站默認(rèn)的后臺(tái)進(jìn)行了更改,以及dedecms注入漏洞獲取到管理員的user和password值,對(duì)此我們sine安全對(duì)dedecms的漏洞修復(fù)是全面化的人工代碼審計(jì)以及修復(fù)漏洞代碼,因?yàn)橛胐edecms做企業(yè)網(wǎng)站排名和優(yōu)化訪問速度比較快。所以如果想要優(yōu)化和訪問速度快又想網(wǎng)站安全建議大家做下網(wǎng)站全面的安全加固服務(wù).
Sine陳技術(shù)  人也隨和直爽，昨晚還熬夜主動(dòng)幫解決服務(wù)器問題，很感動(dòng)！這么熱情務(wù)實(shí)有擔(dān)當(dāng)?shù)母呤终骐y得，可以成為的朋友！——向Sinesafe致敬！
http://www.agrivod.com