以简单直接的视角来评估和学习区块链RPC节点安全
01—RPC节点前言在区块链中,RPC节点扮演的角色是提供链上数据访问和消息验证的,它可以同时扮演两种角色,也可以仅作为一个角色服务。例如验证节点就会参与区块链的共识和区块验证,也就是POS权益证明。
阅读全文互联网安全建设系列——密钥、配置文件明文存储方案
01—前言码存储的挑战在传统应用中,数据库连接信息、API 密钥等敏感信息通常会直接写入代码或配置文件中,虽然可以通过环境变量的方式规避部分安全问题,但依然存在以下挑战:密码硬编码风险:将密码或凭证硬
阅读全文DeFiVulnLabs靶场全系列详解(四十四)自转账安全问题(无限给自己转账)
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文互联网安全建设系列——SCA工具测评和选项/整合
01—选型参考项一、检测识别能力1.1 支持多种类型的检测对象项目源码可能使用各种各样的语言开发,使用各类依赖管理工具,针对这些语言、管理工具和配置文件的适配是基础。软件产物有源代码、制品、二进制等多
阅读全文互联网安全建设系列——SCA技术分享/整合
00—思考● 软件成分分析 和 SBOM管理● 组件漏洞的识别和管理● 组件License的识别和管理● 组件投毒● 组件中断● 组件漏洞的修复● 组件License问题的修复● 危险组件引入时的主动
阅读全文DeFiVulnLabs靶场全系列详解(四十三)ERC721 NFT 未经授权的被转移
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs验证——利用Coze进行自动化复现和测试及坑点
0x00 Coze空间测试复现最近接触和学习Coze空间https://www.coze.cn/space-preview这是一个类似Manus的AI Agent代理,在某些方面还是不错的,它可以自动
阅读全文DeFiVulnLabs靶场全系列详解(四十二)转账函数固定2300个gas导致合约可用性遭到破坏
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均
阅读全文DeFiVulnLabs靶场全系列详解(四十一)return和break,错误的循环退出可能导致数据残留
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(四十)tx.GasPrice 操纵(gas价格操纵)
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(三十九)错误的删除数组方式导致数据泄露
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(三十八)结构体不完全的删除导致数据残留可能数据泄露
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(三十七)不正确的abi.encodePacked编码导致哈希一致
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(三十六)没有设置滑点保护,允许最小代币接收数量为0,导致代币价值遭受损失
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(三十五)ERC20代币不同精度导致的精度损失:四舍五入为0
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均
阅读全文DeFiVulnLabs靶场全系列详解(三十四)预言机产生了过时的价格
01—前言 此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采
阅读全文DeFiVulnLabs靶场全系列详解(三十三)ecRecover函数还原签名的地址为0导致可绕过签名转账
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(三十二)基于闪电贷的价格操纵漏洞
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(三十一)数字转型时候向下溢出
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(三十)空循环绕过验证empty-loop
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(二十九)首次存款错误导致合约破坏
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文揭秘Web3中X和钱包社工被盗的秘密(二)利用恶意书签拿走你的账户资金
在web3安全事件中,常常有Discord账号被黑,很多人可能不明白其中的手法,为什么这些账号这么容易被黑呢?有可能就是利用了“恶意书签”技术所导致的。首先我们创建一个书签,然后添加如下的Js代码,在
阅读全文揭秘Web3中X和钱包社工被盗的秘密(一)
01—伪装成假记者利用虚假的calendly获取X权限攻击者 @xinchen_eth 伪装成知名加密货币媒体 Cointelegraph 的记者,并以预约采访为由接触目标。攻击者诱使点击一个看似正常
阅读全文我的一个小目标完成了!
公众号粉丝破1000了,算是完成了今年的第一个小小小的目标了然后创建了一个群,有做安全的喜欢hiphop的哥们,为了怕随意的人添加进来,所以有兴趣的添加我的微信我来邀请进群。SWNlXzIwMjVfd
阅读全文DeFiVulnLabs靶场全系列详解(二十七)转账收费代币不兼容——fee-on-transfer
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(二十六)交易失败时不回滚
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文DeFiVulnLabs靶场全系列详解(二十五)未经检查的返回值(不符合ERC20标准)
01—前言此内容仅作为展示Solidity常见错误的概念证明。它严格用于教育目的,不应被解释为鼓励或认可任何形式的非法活动或实际的黑客攻击企图。所提供的信息仅供参考和学习,基于此内容采取的任何行动均由
阅读全文实战某游戏界面登陆口-绕过sign短信验证进行攻击
某游戏是采用Web页面嵌入移动端的方式来进行工作的,通过反编译APK可以发现如下HTML,直接浏览器打开点击登录后获取验证码,发现数据包进行了加密,如下所示,并且每次的加密值都不一样,一看就是采用了动
阅读全文应急响应案例29-Rootkit系列之命令替换
总结本文使用了一个简单的技巧来排查恶意远控的链接程序,然后发现常规的netstat 命令和 busybox netstat命令不一样,怀疑被植入rootkit,但是实际上并不是,仅是简单的文命令文件替
阅读全文