云安全联盟：数字货币交易所Top 10安全风险（21页）.pdf

编号：45446

PDF 21页 558.79KB 下载积分：VIP专享

下载报告请您先登录！

云安全联盟：数字货币交易所Top 10安全风险（21页）.pdf

1、最常见的加强 API 安全性的方法：（1）使用令牌。建立可信的身份，再通过使用分配给这些身份的令牌来控制对服务和资源的访问。（2）使用加密和签名。通过 TLS， XML Encryption，零知识证明等方法加密数据。要求使用数字签名，确保只有拥有权限的用户才能解密和修改数据。（3）识别漏洞。确保操作系统、网络、驱动程序和 API 组件保持最新状态。了解如何全面实现协同工作，识别会被用于侵入 API 的薄弱之处。利用持续监控来检测安全问题并跟踪数据泄露。（4）使用配额和限流。对 API 的调用频率设置限额，并跟踪其使用记录。如果 API调用数量增多，表明它可能正被滥用，也可能是编程出了错，例

2、如在无限循环中调用 API。指定限流规则，防止 API 出现调用激增和拒绝服务攻击。（5）使用 API 安全网关。API 安全网关担当 API 流量策略执行点。好的网关既能帮助验证流量的使用者身份，也能控制和分析 API 使用情况。如果交易所服务器是部署在云上的，大部分头部的云服务提供商都有 API 安全网关解决方案或者第三方的 MarketPlace 上可以找到的 API 安全服务网关。（6）交易所对 API 使用应加上 IP 限制，并识别同一 IP 使用多个 API 可能存在黑客风险，要特别注意防止重放攻击，关键 API 不允许重复提交调用。针对使用合约进行 ETH 充值时，需要判断内联交

3、易中是否有 revert 的交易，如果存在 revert 的交易，则拒绝入账。针对使用合约进行 ETH 充值时，需要判断内联交易中是否有 Out of gas 的交易，如果存在 Out of gas 的交易，则拒绝入账。针对使用合约进行 ETH 充值时，需要判断内联交易中是否有 Error 字段的交易，如果存在 Error字段的交易，则拒绝入账。采用人工入账的方式处理合约入账，确认充值地址到账后才进行人工入账。针对使用合约进行 ETH 假充值时，除了 revert 和 Out of gas 的手法外，不排除未来有新的手法，安全团队需要持续保持关注和研究。交易所热钱包存储过多资金，成为黑客目标，这个风险与交易所热钱包有关的 IT系统的漏洞、采用不安全的存储方式对私钥进行存储、安全意识较低有关。黑客采用包括但不限于以下的方式进行攻击：恶意链接钓鱼收集用户信息。黑客投放恶意链接引导用户点击，借此收集用户的登陆凭据。数据库被攻击导致私钥泄露。交易所数据库中存放其热钱包私钥，黑客对数据库进行攻击，获取到数据库数据后通过数据库存放的私钥进行转账。IT 系统漏洞。交易所自身系统存在漏洞，黑客通过其自由漏洞获取 IT 系统控制权后，直接通过 IT 系统进行转账。员工监守自盗。前雇员在离职后通过在职时留下的后门进行资产转移。

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（云安全联盟：数字货币交易所Top 10安全风险（21页）.pdf）为本站（elLLL）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。