客服QQ:872490018

OceanONE 通过慢雾安全审计及相关报告

OceanONE 通过慢雾安全审计及相关报告-碳链

慢雾安全团队于 2018 年 08 月 15 日收到 Mixin Network 团队对 OceanONE 交易平台的安全审计申请,审计范围为 https://github.com/MixinNetwork/ocean.one 全部源码及 https://ocean.one Web 平台。

审计周期

经过双方商务沟通协调后,慢雾安全团队于 2018 年 08 月 20 日正式开始 OceanONE 项目的安全审计,并于 2018 年 08 月 27 日完成全部的审计工作。在审计过程中,慢雾安全团队与 OceanONE 团队保持着密切的沟通,及时反馈发现的安全问题并探讨问题最佳修复方案,确保 OceanONE 交易平台安全可靠。

审计结果

在本次安全审计过程中共发现 8 个安全问题,其中无严重、高危漏洞,详细漏洞情况如下表:

漏洞等级

漏洞数量

严重

0

高危

0

中危

3

低危

5

目前慢雾安全团队已协助 OceanONE 技术团队修复发现的所有安全问题,OceanONE 团队成员技术扎实,快速响应、及时解决发现的任何细节安全问题,值得称赞。

审计类型

序号

审计大类

审计子类

审计结果

1

开源情报采集

域名Whois信息采集

通过

真实IP发现

通过

子域探测

通过

邮件服务探测

通过

证书信息采集

通过

Web服务组件指纹采集

通过

C段服务采集

通过

人员组织结构采集

通过

GitHub源码泄露发现

通过

人员隐私泄露发现

通过

2

服务端安全配置审计

CDN 服务探测

通过

文件扩展名解析测试

通过

备份、未链接文件测试

通过

HTTP 方法测试

通过

HTTP 严格传输测试

通过

Web 前端跨域策略测试

通过

Web 安全响应头部测试

通过

弱口令及默认口令探测

通过

管理后台发现

通过

3

身份鉴别管理审计

角色定义测试

通过

用户注册过程测试

通过

帐户权限变化测试

通过

帐户枚举测试

通过

弱用户名策略测试

通过

4

 

 

 

 

认证与授权审计

口令信息加密传输测试

通过

默认口令测试

通过

认证绕过测试

通过

记住密码功能测试

通过

浏览器缓存测试

通过

密码策略测试

通过

密码重置测试

通过

权限提升测试

通过

授权绕过测试

通过

双因素认证绕过测试

通过

Hash 健壮性测试

通过

5

会话管理审计

会话管理绕过测试

通过

Cookies 属性测试

通过

会话固定测试

通过

会话令牌泄露测试

通过

跨站点请求伪测试

通过

登出功能测试

通过

会话超时测试

通过

会话令牌重载测试

通过

6

输入安全审计

跨站脚本(XSS)测试

通过

模板注入测试

通过

第三方组件漏洞测试

通过

HTTP 参数污染测试

通过

SQL 注入测试

通过

XXE 实体注入测试

通过

反序列化漏洞测试

通过

SSRF 漏洞测试

通过

代码注入测试

通过

本地文件包含测试

通过

远程文件包含测试

通过

命令执行注入测试

通过

7

业务逻辑审计

接口安全测试

通过

请求伪造测试

通过

完整性测试

通过

超时检测

通过

接口频率限制测试

通过

工作流程绕过测试

通过

非预期文件类型上传测试

通过

恶意文件上传测试

通过

交易挂单逻辑测试

通过

交易吃单逻辑测试

通过

充值提现逻辑测试

通过

8

密码学安全审计

弱 SSL/TLS 加密,不安全的传输层防护测试

通过

SSL Pinning安全部署测试

通过

非加密信道传输敏感数据测试

通过

9

Go源代码审计

解引用nil指针

通过

越界访问

通过

运行时未捕获的异常

通过

巨大切片分配请求

通过

无限递归和循环

通过

死锁

通过

多线程数据竞争

通过

文件目录越权读写

通过

10

开源安全审计工具

Gosec 审计

通过

综合审计结果

通过 

安全审计报告可查看慢雾安全团队 GitHub:

https://github.com/slowmist/Knowledge-Base/blob/master/open-report/OceanONE-Security-Audit-Report.md



OceanONE 通过慢雾安全审计及相关报告-碳链

*文章为作者独立观点,不代表碳链立场
本文由 慢雾科技 授权 碳链 发表,并经碳链编辑。转载此文章须经作者同意,并请附上出处(碳链)及本页链接。原文链接http://www.itanlian.com/chainnews/3035.html
发表评论
坐等沙发
相关文章
CertiK陈波锦:区块链行业正经历幻灭低谷期“阵痛” | FBEC 2019专访
CertiK陈波锦:区块链行业正经历幻灭低…
战争已成为比特币的春药,追涨千万注意策略
战争已成为比特币的春药,追涨千万注意…
专访蚂蚁矿池田鑫:挖矿可能是区块链仅存实体落地途径之一
专访蚂蚁矿池田鑫:挖矿可能是区块链仅…
支付宝重申禁购比特币之后…
支付宝重申禁购比特币之后…
陀螺问答TOP 10 周榜单(10.8-10.13):比特币会加剧全球财富分配不均吗?
陀螺问答TOP 10 周榜单(10.8-10.13):…
监管决定币价?不,是币价决定监管
监管决定币价?不,是币价决定监管
慢雾科技
SlowMist-Team 作者
我还没有学会写个人说明!
  • 文章

    92

  • 评论

    0

广告赞助

复制代码