该文被密码保护。 阅读全文
摘要:
ERC223 是一种基于 ERC20 标准的代币,它与 ERC20 不一样的是,如果转账的 receiver 是合约地址,则会调用合约地址的特定函数。这就好像支付宝和微信支付的通知回调接口一样。 if (isUserAddress == false) { ERC223ContractInterf 阅读全文
摘要:
##ERC20代币审计流程 本文ERC20涵盖 BEP20 HRC20 TRC20 等一切EVM虚拟机区块链的代币协议,其他区块链仅有EVM虚拟机的不做额外补充 #####1. 审计合约是否开源,各大已支持的evm公链查看代码地址如下: 区块链 浏览器预览代码地址 ETH https://ether 阅读全文
摘要:
参考文档 Terra 是基于 cosmos sdk构造的区块链,语言的话最好是rust 构建一个 Terra 合约: https://docs.terra.money/docs/develop/dapp/smart-contracts/build-terra-dapp.htmlTerra - CW 阅读全文
摘要:
bitcoin 刚出来了一会,大家都说 bitcoin 是骗局,反驳的原因主要是:1. 没有政府做背书2. 看不着,摸不到3. 既然 Satoshi 能发一个币,那我也可以发一个币没有深入了解,说出这个话其实是没有问题的。在五年前,大家可能会把比特币交易跟邮票交易去做一个挂钩或认为这将会是第二个p2 阅读全文
摘要:
年初的时候我发现一种独特的攻击方式,就发现逐仓杆杠、合约比全仓杆杠更危险,在资金划转这一块。 比如 BTCUSDT 逐仓交易对,只能划 BTC和USDT进去以追加保证金提高风险率, 程序员在写划转逻辑的时候就会拿划转的币种去和逐仓交易对做比较。BTC 属于 BTCUSDT ,则可以划进划出 。 ET 阅读全文
该文被密码保护。 阅读全文
摘要:
最近发现公司测试在内网部署了YAPI,同事在对yapi进行测试过程中很快就发现了一个xss漏洞,于是自己也就动手审计起来,这是nodejs的代码,之前看过一篇相关的审计漏洞详情,发现nodejs对漏洞的审计主要还是着重于几个要点 文件操作类漏洞,诸如任意文件上传、文件读写漏洞等 命令、代码执行漏洞 阅读全文
摘要:
问题的发现 最近在对公司后台代码安全审计的过程中,发现了一种有意思的漏洞类型,一种基于排序的SQL猜解攻击问题,我们且抽一段片段代码来看一下 如果直接观测这段代码,似乎有SQL注入的问题,在Spring的,SPEL表达式 # 相当于占位符,这有效的防止SQL注入的发生,所以一般对于mapper的审计 阅读全文
摘要:
说说需求 在Flask中,我们会有登录认证的需求,比如说一个后台的Api,我们需要用户登录过才能访问,那么我们就要在Api前去判断用户是否拥有此权限。 就拿我的项目Onebel来说,在没有用修饰器前我是这么写的 这里是一个验证是否登录的类,每次路由根据该类返回一个bool,确定是否登录过,在处理登录 阅读全文