Securify之旅2之审计相关知识前导

已于 2022-06-10 19:10:26 修改
阅读量3k 收藏 5
点赞数 2
分类专栏: 区块链安全工具 文章标签: 区块链 智能合约 安全
于 2022-04-17 23:19:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DongAoTony/article/details/124238988
版权

现在的审计方法有人工的攻防审计以及自动化的审计。在海量的智能合约中,当然是要降低人工审计的部分,并增加更多的部分通过自动化审计来进行。

当前主流的自动化审计有三大类:

  1. 特征代码匹配。
  2. 基于形式化验证。
  3. 基于符号执行和符号抽象。

特征代码匹配

大家从名字上来看应该就能猜到,其实它就是对恶意代码进行一些提取抽象,正如像我们之前对常规软件系统做的代码静态检测。我们会将恶意代码抽样成一种语义匹配,然后再去寻找与它匹配的静态源代码。这里所讲的静态,正是因为代码并不需要被运行。

这种审计的方法的优点是显而易见的,比如说速度很快,因为它就是对原码进行一个字符串的匹配。第二是它能够迅速的响应新的漏洞,因为这种审计方法大部分是以插件形式开发,比如出现了一个新的漏洞,我们就可以快速提交一些新的匹配模式。

它的缺点就是需要代码开源。听起来似乎与智能合约很吻合,因为区块链是推荐开源的。但事实上,有人做过统计,目前智能合约的代码的开源率仅仅只占48.62%,其余的只是暴露它的一个OPCODE。如果让安全人员去分析这些OPCODE,去逆向OPCODE,将是巨大的挑战,这肯定将会花了大力气,所能cover的范围也极为有限。

它的另一个缺点是漏报率高。因为智能合约的静态审计和传统的静态代码并不完全一致:传统的静态审计方法,比如说APP检测,会调用成熟库里面的,确定稳定的一些函数,进而对它进行审计;但智能合约里面它的一些函数、它一些特征等等,相较传统的代码库存在更大的变化性,所以说相较传统的代码,采取此方法的漏报率还会更高。

最低0.47元/天 解锁文章
DongAoTony
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Securify之旅1之TOD漏洞剖析
DongAoTony的博客
04-17 5001
在正式开始学习分享智能合约审计工具Securify V2之前,我们先较深入剖析一下,后面会提到的漏洞类型TOD。
securify2.0 docker镜像
04-17
不支持传参,可进入容器环境运行securify,可通过solc-select切换solidity编译器版本 (由于CSDN上传资源大小的限制,把1.5G的tar镜像压缩为zip)
securify2:Securify v2.0
02-05
Securify v2.0 Securify 2.0是由和支持的坊智能合约安全扫描程序。 Securify背后的核心是在苏黎世联邦理工学院的进行的。 它是流行的Securify安全扫描程序的继承者(您可以在找到旧版本)。 产品特点 支持38个漏洞(请参阅下) 实现以Datalog编写的新颖的上下文相关静态分析 分析以Solidity> = 0.5.8编写的合约 码头工人 要构建容器: sudo docker build -t securify . 要运行容器: sudo docker run -it -v <contract>:/share securi
Securify2: 智能合约安全审计的利器
最新发布
gitblog_00043的博客
04-16 312
Securify2: 智能合约安全审计的利器 项目地址:https://gitcode.com/eth-sri/securify2 Securify2 是一款由ETH-SRI团队开发的智能合约静态分析工具,专注于帮助开发者发现以太坊(Ethereum)和多链智能合约中的潜在安全漏洞。通过自动化扫描,它可以极大地提高智能合约安全性,确保在部署之前无重大安全隐患。 技术分析 1. 静态分析原理 Se...
安装securify2.0
qingche_的博客
04-17 336
开源项目地址:https://github.com/eth-sri/securify2。
论文02 security
weixin_41787421的博客
11-29 564
securify安全模式 securifysecurify安全模式1. Securify Language1. 语法2. 语义3. securify的属性和模式:confused:3.1 Ether Liquidity(LQ)2. NoWrites After Calls (NW)3. Restricted Writes(RW)附附加知识bnf范式a. [BNF范式(巴科斯范式)简介](https://www.cnblogs.com/huiyenashen/p/4445676.html) 在此模块作者展
SpringSecurity 2中文文档
今天最成功
05-26 167
有不少同事在问spring security 2 有没有中文的参考文档, 在这里就给各位兄弟姐妹们一起来分享这一文档
augur-audits:Augurs审计结果摘要
05-10
团队被雇用来审核和审计Augur的核心合同。 齐柏林飞艇团队对我们的更改进行了迭代,并修复了3次,最终产生了以下结果: 7f3c79a5dd471a98df8f66a640902e063f15f796 无论和 (ChainSecurity)也对预言者核心代码库...
Python库 | securify-0.0.1-py3-none-any.whl
02-19
python库,解压后可用。 资源全名:securify-0.0.1-py3-none-any.whl
PyPI 官网下载 | securify-0.0.1-py3-none-any.whl
01-07
资源来自pypi官网。 资源全名:securify-0.0.1-py3-none-any.whl
Security之入门篇
qq_43654581的博客
10-22 903
1.查询数据库,获取用户信息,赋予用户角色交给Security管理 2.自定义登录页面、无权访问跳转页面
k.framework-开源
07-01
k.framework 是 AS2 中的开源前端 Flash 框架。 k.framework 内置了与 SWFAddress、SWFObject 和 swffit 的深层链接。 k.framework 的站点包括: * 导航 * 过渡 * 预加载
Websecurify Scanner 9.0 web检测工具.rar
01-20
web安全检测工具
K语言入门学习1:环境搭建
DongAoTony的博客
05-08 2842
这里讲解了K框架(K语言)的开发环境搭建。 工欲善其事,必先利其器。这是一系列要求我们勤动手的教程。让我们跟着把环境搭建起来
主流自动化智能合约审计工具横向对比测试
区块链大本营
11-15 3450
本文将成都链安科技有限公司开发的VaaS-ETH自动智能合约形式化验证平台精简版与国际知名的类似产品,如SmartDec、Securify、QSP进行了横向对比测试。测试结果表明,VaaS-ETH在安全检测精确度、检测能力、结果分析、用户体验等方面均存在较大优势。 本文分为两个部分,使用两个功能不同的案例合约,分别为代币合约和竞拍合约。 智能合约安全检测项:包括10大类,27小项 1 ....
安装securify1.0
qingche_的博客
09-26 450
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
springSecurity安全框架的学习和原理解读
执笔写童话的博客
04-25 1075
转 springSecurity安全框架的学习和原理解读 标签: java springsecurity 更多 最近在公司的项目中使用了spring security框架,所以有机会来学习一下,公司的项目是使用springboot搭建 springBoot版本1.59 spring security 版本4.2.3 (个人理解可能会有偏差,希望有不正确之处,大家能够指出来,共同探讨交流。) 目录...
acegi到spring security的转换方式
Fusion
10-18 185
  作者 Chris.Baker,发表于 2008/04/22 - 9:44am. http://java.dzone.com/tips/pathway-acegi-spring-security- 以前它叫做spring的acegi安全框架,现在重新标识为spring security 2.0,它实现了简易配置的承诺,提高了开发者的生产力。 它已经是java平台上应用最广的安全框...
智能合约安全漏洞测试
07-28
智能合约安全漏洞测试是一项重要的任务,它有助于发现和修复合约中的潜在漏洞。以下是一些常见的智能合约安全漏洞测试方法: 1. 静态分析:使用静态代码分析工具,如Mythril、Slither、Securify等,对合约代码进行扫描,以检测潜在的漏洞。这些工具可以帮助发现重入漏洞、整数溢出、未经授权的访问等问题。 2. 动态测试:通过模拟实际的交互操作,对合约进行动态测试。这种方法可以模拟各种攻击场景,如重放攻击、网络攻击等,以检测合约在不同情况下的行为。 3. 模糊测试:通过随机生成输入数据,对合约进行模糊测试,以发现未考虑的边界情况和异常情况。这种方法可以帮助发现未处理的异常情况,如无效输入、内存溢出等。 4. 审计代码:请专业的智能合约安全审计人员对合约代码进行审计。他们可以提供深入的技术洞察和建议,以帮助您发现和修复潜在的安全问题。 请注意,以上方法都是为了帮助发现潜在的安全漏洞,但并不能保证完全消除所有风险。因此,在部署合约之前,始终建议进行全面的安全审计,并遵循最佳实践来编写和管理智能合约

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DongAoTony

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值