android代码审计框架,路印协议已完成第三方代码安全审计

最新推荐文章于 2023-02-21 23:53:27 发布
最新推荐文章于 2023-02-21 23:53:27 发布
阅读量275 收藏
点赞数
文章标签: android代码审计框架

89636d5cccd8?from=groupmessage

为了从根本上杜绝安全漏洞与业务逻辑漏洞,路印协议与专注智能合约安全研究的安比(SECBIT)实验室签署了战略合作协议。安比(SECBIT)实验室为路印协议提供专门的智能合约安全漏洞检测工具与高级审计服务,保证数字资产的安全性与规范性,打造更健康有序的路印生态。

安比(SECBIT)实验室于北京时间2018年12月15日完成对路印协议2.0智能合约和数字货币钱包(iOS+安卓)的代码安全审计。点击链接查看详细安全审计报告。

一、路印协议2.0智能合约(以下称LPSC )代码审计

LPSC是一组路印生态系统中的智能合约,它们被用来检查环路矿工提交的订单环路是否符合规范,以用户利益为目的进行可信结算和转账,用交易费激励环路矿工和钱包,并产生相应的以太坊事件。

本次审计主要围绕LPSC的形式化模型进行,该形式化模型基于LPSC的实现构建,通过形式化语言描述LPSC的行为,后续的人工审阅和相关性质的形式化证明都基于该形式化模型进行。

审计过程中发现了LPSC存在3处实现错误和3处可能风险,但是这些问题或者已经被修复,或者在LPSC之外已经解决,或者在实际中很难造成损失。同时,LPSC遵循了大量的最佳实践。总体而言,LPSC具备很高的质量。

二、路印协议数字货币钱包(iOS+安卓)代码审计

路印协议数字货币钱包根据标准协议规范BIP32、BIP39、BIP44实现了钱包的基本功能(创建账户、密钥管理、转账收款等),并在此基础上进行了其他功能的扩展。本次审计工作,安比(SECBIT)实验室严格按照审计流程规范执行,从数字钱包资产安全,应用常规风险和服务端应用安全风险三个维度对钱包进行全面分析。审计结果表明,路印协议数字货币钱包并未发现致命的安全漏洞。

同时,路印协议已经针对安比(SECBIT)实验室的评估在安全性上进行优化操作,主要是优化代码层级并提升用户隐私性,如添加助记词、keystore和私钥界面的禁止截图功能、提示用户密码强弱等。

经安比(SECBIT)实验室审计之后,路印协议会修复发现的逻辑漏洞、代码漏洞和存在的安全风险,提高合约的安全性和代码质量。

关于安比(SECBIT)实验室

安比(SECBIT)实验室专注于区块链与智能合约安全问题,全方位监控智能合约安全漏洞、提供专业合约安全审计服务,在智能合约安全技术上开展全方位深入研究,致力于参与共建共识、可信、有序的区块链经济体。

安比(SECBIT)实验室创始人郭宇,中国科学技术大学博士、耶鲁大学访问学者、曾任中科大副教授。专注于形式化证明与系统软件研究领域十余年,具有丰富的金融安全产品研发经验,是国内早期关注并研究比特币与区块链技术的科研人员之一。研究专长:区块链技术、形式化验证、程序语言理论、操作系统内核、计算机病毒。

获取路印协议更多最新的动态,请访问我们的社区帐号:

⭑路印官方小秘微信: loopring999

鄜州npc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android app代码审计,常规漏洞/缺陷整理(持续更新)
qq_29194615的博客
04-21 4605
android app代码审计,常规漏洞/缺陷整理(持续更新)
Android 代码审计工具和常见问题
hellenicguo的专栏
11-25 1902
1.Android lint工具 Android studio 找到Analyze目录下的Inspect Code 检查代码选择检查代码的范围 2.FindBugs_IDEA 插件 AndroidStudio 点击Setting ->Plugins点击Brow Repositories搜索FindBugs_IDEA  点击Install 注意FindBugs_IDEA 只支持JDK1
一次代码审计实战案例【思路流程】
最新发布
m0_59598029的博客
02-21 337
1、一些敏感业务不要轻易放到公网服务器上,放上一定要做好安全。2、在溯源分析时,遇到傀儡机可以考虑下蹭马利用的方式。3、数据库密码哈希值获取,搜寻敏感信息。4、社工查询:谷歌搜索、QQ资料、细心关联分析。
【移动安全高级篇】————2、浅谈Android软件安全自动化审计
Fly_鹏程万里
01-10 831
0x00  前言  随着移动互联网的发展,移动终端安全也越来越受到关注。特别是Android系统的崛起,互联网上的各类Andriod软件数量迅速上升。因Android系统是开源的,导致各种android恶意软件迅猛增加,成为手机系统的最大受害者。与此同时,android系统和软件本身的漏洞也进一步危害到用户的隐私安全。本文主要针对Android软件安全进行审计,提供一些常见的安全检测点,并借此实...
代码审计总结
热门推荐
m0_48907714的博客
04-29 1万+
代码审计流程、代码审计流程、代码审计实操、代码审计提升
Android 高效的图片加载框架(非第三方)程序源码
12-11
本教程将探讨一种非第三方的Android图片加载框架的源码分析,帮助开发者理解图片加载的基本原理,并能根据需求进行定制化开发。源码来源于CSDN博主的文章,如果有任何疑问,可以通过链接在博客下留言。 首先,我们...
Android第三方开源框架ImageLoader的完美Demo
08-19
总之,`Android第三方开源框架ImageLoader的完美Demo`是一个极好的学习资源,它帮助开发者高效地管理图片资源,提高应用的响应速度和用户体验。对于任何涉及大量图片处理的Android应用来说,`ImageLoader`都是一个...
android 收音机 FM 驱动 hal层 框架层以及应用层代码
06-11
android 收音机 FM 驱动 hal层 框架层以及应用层代码 方法一 不需要framework部分 1.fm放到 \hardware\rk2x 2.FmRadio 放到 packages\apps 3.hardware\libhardware\include\hardware\fm.h 放到hardware\libhardware...
android第三方(qq、微信、微博)登录
03-30
Android开发中,集成第三方登录服务,如QQ、微信、微博等社交平台的登录功能,是一种常见的需求。这些服务能够为用户提供便捷的登录体验,同时也有助于开发者获取用户社交网络的信息,提升用户粘性和应用的推广...
shareSDK android第三方qq,微信登录
04-24
Android应用开发中,集成第三方登录服务如QQ和微信,可以极大地提升用户体验并扩大用户基础。ShareSDK是一款强大的社交分享和登录工具,它为开发者提供了简单易用的接口,使得接入多个社交平台变得轻而易举。在这...
Coeus:Android apksdk扫描包括android apksdk安全审计代码扫描以及国内政策扫描
03-08
库厄斯 库厄斯:库厄斯是天王星之一,是天王星和盖亚的儿子。 他的名字意味着质疑。 如果我们需要导入android sdk,我们可能会对sdk有一些疑问,例如安全性/权限/政策/信息 Coeus项目将帮助您做到这一点。 您可以在报告目录中看到report.xml。 尝试 尝试进行第一次Coeus扫描: python coeus.py xxx.aar CH 0x01项目地址 项目地址: : 0x02依赖环境 python 3.x / Java的 0x03安装使用教程 安装:git clone 一键扫描:python coeus.py xxx.aar 0x04相关说明 相关政策代码和隐私代码检测策略,均在scrpit文件夹中,json格式方便添加与修改 相应的工具也存储在工具文件夹下 具体代码逻辑上在项目组查看。 生成的扫描文件,输出在结果文件夹下,分别有对应的日志文件和输出的repor
Easytalk博客系统代码审计.docx
04-19
代码审计练习,从本地搭建环境到详细代码审计步骤再到漏洞验证一条龙。EasyTalk是国内首款多用户PHP+Mysql开源微博客系统,支持网页、手机等多种方式发表和接收信息,EasyTalk微博客系统是由兰州乐游网络科技有限公司开发研制而成,轻量级架构,使得使用者上手容易,管理者安装部署容易、管理便捷。EasyTalk功能强大,可二次开发性高,人性化的模板自定义功能。采用PHP+MySQL构建,基于thinkphp框架编写,使用轻量级的模板引擎,使得维护以及美化更简单。系统内使用Memcache对数据查询进行高效的缓存,足可以满足大访问量、高并发的请求
java反编译class源码-AndroTickler:适用于Android应用的渗透测试和审计工具包
06-05
java反编译class源码安德罗·提克勒 一个 Java 工具,有助于更快、更轻松、更高效地渗透测试 Android 应用程序。 AndroTickler 提供了许多信息收集、静态和动态检查功能,涵盖了 Android 应用程序渗透测试的大部分方面。 它还提供了渗透测试人员在渗透测试期间需要的一些功能。 AndroTickler 还与 Frida 集成以提供方法跟踪和操作。 它以前以Tickler的名义出版。 AndroTickler 需要一个 linux 主机和一个连接到其 USB 端口的有根 Android 设备。 该工具不会在 Android 设备上安装任何东西,它只会在 /sdcard 上创建一个Tickler目录。 AndroTickler 依赖 Android SDK 在设备上运行命令并将应用程序的数据复制到主机上的TicklerWorkspace目录以供进一步分析。 TicklerWorkspace是AndroTickler的工作目录,每个应用程序在TicklerWorkspace 中都有一个单独的子目录,其中可以包含以下内容(取决于用户操作): DataDir 目录:
Android安卓安全审计mobiseclab
亚飞正传的专栏
11-05 2599
关于安卓上的app分析,安全审计,有很多的本地化软件可以胜任,不过,今天给大家介绍一款在线的安全审计,恶意软件(android app)检测和分析工具,mobiseclab,有着强大的分析和源码审计功能.
Android漏洞扫描工具Code Arbiter
一个有情怀的程序猿博客
07-01 2042
目前Android应用代码漏洞扫描工具种类繁多,效果良莠不齐,这些工具有一个共同的特点,都是在应用打包完成后对应用进行解包扫描。这种扫描有非常明显的缺点,扫描周期较长,不能向开发者实时反馈代码中存在的安全问题,并且对于问题代码的定位需要手动搜索匹配源码,这样就更不利于开发者对问题代码进行及时的修改。Code Arbiter正是为解决上述两个问题而开发的,专门对Android Studio中的源码进行安全扫描。 为实现对Android Studio中的源码进行扫描,最方便的方式便是将扫描工具以IDE插件..
Android应用安全检测工具简介
daizhongyin的专栏
03-04 2414
Android应用安全检测工具简介 1、测试工具集 Appie – 轻量级的软件包, 可以用来进行基于Android的渗透测试, 不想使用VM的时候可以尝试一下. Android Tamer – 可以实时监控的虚拟环境, 可以用来进行一系列的安全测试, 恶意软件检测, 渗透测试和逆向分析等. AppUse – AppSec Labs开发的Android的虚拟环境. Mobisec – 移...
Android审计平台,Android审计平台
weixin_42545159的博客
06-02 249
中危检测到当前标志被设置成true或没设置,这会导致adb调试备份允许恶意攻击者复制应用程序数据,造成数据泄露。中危该app需要移除大部分日志打印代码。经扫描该包仍存在大量打日志代码,共发现176处打日志代码.(此处扫描的日志打印代码,是指调用android.util.Log.* 打印的.)详情如下:位置: classes.dexandroidx.fragment.app.FragmentActi...
androidstudio天气预报项目源码和报告_kiwi:安全源码审计工具
weixin_39568232的博客
11-21 427
1 关于kiwi 项目是一个源代码安全审计工具。适用于黑客、安全研究人员、安全测试人员,支持多种语言的代码审计工作。代码安全审计工作一般需要2个辅助工具:代码审计(搜索)工具,能够从代码中找到可能存在安全问题的位置,并且生成可视化的报告。一个方便阅读代码的工具,能够索引代码实现跳转。例如opengrok、SourceInsight、vim ctags cscopekiwi是一个基于文本的...
Android第三方登录与分享实现详解
"本文主要介绍如何在Android应用中实现第三方授权登录、分享以及获取用户资料,使用了ShareSDK这一组件,支持QQ、微信、新浪微博等多个社交平台。文章通过详细步骤指导,包括项目结构、准备工作和编码实现,展示了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值