美维软件 如您所愿

站点地图 XML 400-836-7211

首页 > 行业资讯  > 数字交易平台大调查!你是否 “所托非人”?

数字交易平台大调查!你是否 “所托非人”?
2018-10-22 17:30:49   384
分类: 行业资讯
【摘要】

调查你们来了!

随着加密货币的炙手可热,更多的人看到了数字货币的前景。于是吸引了大量的资金涌入。而交易平台作为加密数字货币的承载平台,关乎投资者的资产安全,再怎么慎重都不为过。

因为交易平台存储了大量的加密资产,对黑客来说,交易平台是一座加了大锁的山洞,能撬开这把锁,就可以获得里面的宝藏。

而这样的宝藏如今就摆在黑客的面前,因此越来越多的黑客会想攻击交易平台,以此想获得这些加密货币。虽然获取的难度较大,但是一旦得手,平台能够追回的难度也不小。

在过去的8年里,大约有31个交易平台遭黑客入侵,约13亿美元的加密资产被盗有一些交易平台吸取教训并重振旗鼓,有一些直接破产,也有一些甚至多次受到攻击,比如Mt.Gox、Bitcoinica、PicoStocks和Bitcurex等。

因此有人针对交易额超过100万美元的交易平台,总数约100家进行调查和研究。

针对交易平台及其用户产生负面影响的潜在漏洞所对应的安全措施,对以下四点的内容做了相应的调研和评估:

1、控制台错误
2、用户帐户安全
3、 注册商和域名安全
4、网络协议安全

控制台错误

代码中的控制台错误,可能导致某些系统出现故障,从而导致用户出现问题。此类漏洞通常并不严重,但在某些情况下,这些漏洞会导致数据丢失,因此也作为衡量指标之一。

调查统计发现,68%的交易平台没有控制台错误,其中,49%的交易平台虽然没有控制台错误,但也没有关于此类错误的警告。

结论:32%的交易平台存在控制台缺陷,会导致操作中存在某些缺陷。


用户帐户安全

调查人员在每个交易所均创建了一个帐户,用来评估以下问题:

■ 是否可以创建少于8个符号的密码?
■ 是否可以单独使用数字或字母创建密码?
■ 帐户创建后,是否立即需要电子邮件验证?
■ 是否需要两步验证?

评估结果如下:

■ 41%的交易平台:允许密码少于8个符号;
■ 37%的交易平台:允许使用只有数字或字母的密码;
■ 5%的交易平台:允许创建帐户后无需电子邮件验证;
■ 3%的交易平台:没有两步验证;

结论:只有46%的交易平台同时满足上述的四个选项。


注册商和域名安全

注册商和域名相关的漏洞有以下的几个主要问题:

■ 注册表锁定:注册表锁定是注册表中的一个特殊标志,可以防止在没有与注册表进行外通信的情况下,对域名进行更改。

■ 注册商锁定:注册商锁定要求不仅仅是一个身份验证码来更改全局注册表中的信息,以此来防止域名劫持。

■ 角色账户:注重安全的机构会通过使用角色帐户注册其域名来避免泄露私人信息,角色帐户可以保护个人免受攻击。

■ 有效期:对于交易所域名,我们建议至少有6个月的有效期时间窗口。这是为处理不可预见的复杂问题留有足够余地,例如:拥有该域名的员工离开公司。

■ 域名系统安全扩展(DNSSEC):DNSSEC通过使用加密签名验证所有的DNS查询,以此来消除DNS缓存中毒的威胁。DNS服务器将拒绝未经身份验证的响应,而不是盲目缓存DNS记录。

以上5个问题都有三种可能的结果:正常运行、不正常运行、警告。评估结果如下:

■ 只有2%的交易平台:使用注册表锁定
■ 只有10%的交易平台:使用DNSSEC
■ 只有4%的交易平台:能够在5个维度中做到4个

所幸,没有任何交易所在以上五个要点都有问题。


网络协议安全

我们检验了交易平台是否拥有防止各种攻击的保护头文件。根据交易平台是否有相关协议,我们来检查是否存在以下头文件:

■ Strict-Transport-Security:HSTS,强制浏览器以HTTPS格式浏览网站,保证安全。

■ X-XSS-Protection:定义了浏览器应如何实施跨站点脚本保护。

■ 内容安全策略:内容安全策略(CSP)允许为每种类型的内容定义允许的源,有助于防御XSS攻击,还能够定义多个浏览器行为,在HTTP Referer中的发送值,例如沙盒实验。

■ X-frame-options:指定网站是否应该允许自己被框起,以及来自哪个来源,阻止框架有助于抵挡点击劫持等攻击。

■ X-content-type-options:可以指示浏览器禁用嗅探页面内容类型的功能,并且只使用指令本身定义的内容类型,这提供了对XSS或逐个驱动的保护攻击。

此项的评估结果如下:

■ 只有10%的交易平台:拥有全部五个头文件
■ 29%的交易平台:没有上述5个头文件
■ 只有17个交易平台:拥有内容安全策略头文件


总结

现在,交易平台的数量有上千家,交易平台的选择,关乎投资者的资产安全,再怎么慎重都不为过。

为了保障投资者的资产安全,选择一家具有良好的口碑和能力的交易平台,对自己的资产负责。

声明:文章"数字交易平台大调查!你是否 “所托非人”?"为美维软件开发公司原创文章,转载请注明出处,谢谢合作!

最新资讯排行榜

周榜

月榜

在线咨询

联系电话

400-836-7211

扫一扫

关注美维软件