Ethernaut – 智能合約資訊安全練習平台
區塊鏈 (Blockchain) 受到人們的吹捧,在眾多的應用情境中,除了加密貨幣 (Crypto Currency) 之外,最受矚目的就是智慧合約 (Smart Contracts),目前主流的智慧合約使用 Solidity 撰寫,其中有許多資安議題值得我們學習與探討,Ethernaut 是一個由 zeppelin 維護的智慧合約資安練習平台,目前已有 19 個練習項目,都是智慧合約資安議題中的經典,值得大家前往挑戰。
區塊鏈 (Blockchain) 受到人們的吹捧,在眾多的應用情境中,除了加密貨幣 (Crypto Currency) 之外,最受矚目的就是智慧合約 (Smart Contracts),目前主流的智慧合約使用 Solidity 撰寫,其中有許多資安議題值得我們學習與探討,Ethernaut 是一個由 zeppelin 維護的智慧合約資安練習平台,目前已有 19 個練習項目,都是智慧合約資安議題中的經典,值得大家前往挑戰。
技術越練越熟練,但是現在的 CTF 難度越來越高,對新手越來越不友善,那新手還可以去哪裡練功呢? 台灣就有一位熱心的白帽駭客 Inndy 特別將他在各種課程與競賽出的題目整理成一個 CTF 供大家練習,題目有簡單有困難,不僅新手適合,進階的人也可以在這個網站獲得充分的練習
vulhub 與 VulApp 提供了各種漏洞的靶場(CyberRange),並且把漏洞環境以docker做封裝,因此在建置環境與測試漏洞非常方便
不過VulApp比較久沒更新了,一些較新的漏洞可能會沒有,但是VulApp還是有一些vulhub沒有的靶場
這篇文章使用 PentesterLab 靶機的 XSS 題組作為範例,一步一步的介紹作者在代碼審計過程中的思路,從題目限制分析、需要具備哪些基本知識,一路到 Payload 構成,值得新手閱讀。
代碼審計的基本思想從資料流下手,什麼樣的資料流進,經過哪些函數,從什麼地方流出,過程中有沒有經過危險函數。輸入的過程是否有進行過濾,過濾是否確實。有沒有訪問其他系統或者協定的機會,跨越系統容易出現疏忽,其中 SSRF 就是一個很好的例子。