作为一个漏洞悬赏平台,DVP的漏洞处理方式是非常重要的,否则很容易出现漏洞泄露被用来作恶的问题,这也是链节点网友最关心的问题。
Daniel Wen表示,DVP主要从技术和激励上的设计防止作恶: “主要是两个方面:技术上,利用区块链的不对称加密进行安全情报定向传递,以及对消息传递过程存证。激励上,利用通证进行经济激励,并结合基于链上信息的声誉体系做到作恶有损失,行善有奖励。”
Daniel Wen解释说,在收到漏洞报告后,DVP不会直接对外公布,而是第一时间联系漏洞所属厂商,提醒其尽快修复。在漏洞修复之后,只会公示一条简易信息,以显示白帽子和厂商之间提交漏洞和接收奖励的过程,并不会披露更多细节,无法被用来作恶。
对于部分无法取得联系或拒不配合修复漏洞的厂商,DVP会酌情公布其漏洞,目的是提醒其他厂商和用户及时防范相关风险。此外,对于一些具有典型意义的漏洞,出于行业交流学习的目的,也会进行公布,但该类漏洞均是已经修复和脱敏后的,也无法再被用来作恶。
对于所有漏洞,DVP都会有专业的人员进行初审、复审,最后再依据相关的悬赏规则对漏洞进行评级,当漏洞存在争议时,会联合多家安全厂商进行投票决定。
硬核干货:交易所常见漏洞解析
交易所作为区块链生态的重要一环,由于存有大量加密资产,常常会成为黑客攻击的目标。尽管经历多年的发展,交易所在安全防护方面取得了一定的进展,但依然是这个行业“最危险的地方”。因此这类厂商现阶段成为了DVP关注的重点。
Daniel Wen在本次AMA中分享了几个交易所常见的漏洞: “这里简单列几个常见漏洞。假充值漏洞:交易所在验证充值交易时没有严格验证转账是否真的成功,以及没有验证余额是否有增加导致的一种漏洞,常见的解决方案就是在用户充值之后,一定要验证相应的收款地址的余额是否有等额增加。
SQL注入漏洞:SQL注入攻击是黑客对数据库进行攻击的常用手段之一。这种漏洞是因为开发人员在引入外部数据时未经过安全检查直接带入到SQL语句中导致的,这种漏洞会导致平台数据库内的数据全部泄漏,更严重的可导致数据被篡改,甚至影响到服务器的安全。常见的解决方案就是在使用SQL语句时使用参数化查询,在接收来自外部的参数时需要经过检查以及过滤。
PundiSS漏洞:NPXSSS漏洞是黑客对客户端进行攻击的常用手段之一。这种漏洞是因为开发人员在引入外部数据时未经过安全检查直接带入到网页中导致的,当网页客户端被植入恶意代码时,可能会导致产生客户端的身份凭证被窃取(俗称盗号)、敏感信息泄漏等危害。常见的解决方案就是在引入外部数据到网页中时,先经过安全检查以及过滤。
逻辑漏洞:逻辑漏洞是黑客对平台业务进行攻击的常用手段之一。这种漏洞是因为在程序设计、编码时,逻辑不严谨导致的,常见的逻辑漏洞有任意密码重置(篡改别人密码)、任意改绑等类型。这类问题属于最难解决的一类,无法依赖自动化的工具和简单的防护来解决,需要人工对代码中的逻辑进行梳理以及测试来解决。”
安全无小事,社区利益重
Daniel Wen还特别强调了自己对行业安全的看法和DVP的核心理念: “安全是个需要持续关注的问题,即使是安全公司也不能百分百保证绝对安全,DVP、PeckShield、白帽汇都在DVP平台上发布了自己的漏洞赏金计划,欢迎白帽黑客进行安全测试。我们始终相信,及时发现漏洞,修补漏洞,而不是回避漏洞,才能避免造成更大的危害。” “区块链不是万能的,去中心化是一个循序渐进的过程,要匹配项目的成熟度逐步推进。这个过程需要团队的努力,更需要社区的积极参与。只有社群积极参与,为项目贡献并获得相应回报,才能保证PAX分配的均衡,从而促进去中心化。” “DVP将一切以社区利益为重!”
小彩蛋:DVP在诞生一周年之际举办了“区块链安全进化论”活动,推出三重大礼,通过线上漏洞挖掘大赛、解密游戏和线下黑客松的形式,希望回馈社区,吸引更多白帽子与安全机构为区块链保驾护航。更多信息可关注DVP官方网站dvpnet.io和公众号DVPNET,添加官方客服小爱同学(f1ndfreedom)进入社群,获取更多内容和惊喜。
更多AMA精彩观点戳这里:https://www.chainnode.com/ama/357229