三、《区块链+安全技术指南》杂记

一、应用与智能合约层的安全控制
1、web与移动客户端应用安全

• 注入；
• 失效的身份认证与会话管理；
• 跨站脚本漏洞；
• 不安全的直接对象引用；
• 安全配置错误；
• 敏感数据泄露；
• 功能机访问控制缺失；
• 跨站请求伪造；
• 使用已知易攻击组件；
• 未验证的重定向和转发。

2、智能合约的安全
（1）智能合约简介；
（2）ZNHY安全编码的最佳实践；
（3）ZNHY的几个安全漏洞；

• 开源工具；
• 形式化验证；
• 虚拟机安全；
• 安全开发过程；
• 开发须知。

3、ZNHY中的身份管理和控制

• 传统身份管理与访问控制系统问题；
• 身份链的定义和国内典型身份链的分析；
• 身份链的生态系统；
• 身份智能合约；
• 区块链落地的身份管理与访问控制考虑。

二、激励层的安全机制
1、激励的产生和分析
（1）激励机制的价值

• 比特币激励；
• 以太币激励；
• 其他通证激励；

2、激励层安全分析
通证激励模式的安全隐患；
TZJL安全事件分析、反思、法律风险、安全措施。

三、网络层安全与控制
1、P2P加密：

• 区块链与P2P网络的关系；
• 区块链上的P2P应用与加密；

2、客户端与节点通信加密：

• 恶意客户端作恶方式及后果；
• P2P网络安全机制；
• 联盟链如何确保客户端和节点的可信任；
• 主流联盟链通信安全实现剖析。

3、防御DDOS攻击

四、数据层共识与安全
1、数据加密技术的应用；
2、数据传输；
3、区块链的交易签名；
4、共识攻击；
5、区块链安全性考虑。

五、私钥的安全
1、私钥的安全性；
2、主流区块链私钥的使用方法和问题分析；
3、私钥保护的正确“姿势”；
4、硬件钱包介绍；
5、移动钱包如何提升安全性；
6、浅析私钥更新、找回、吊销。