OWASP Smart Contract Top 10

隨著區塊鏈和智能合約的興起,OWASP 也發布了 「Smart Contract Top 10」,這份清單針對智能合約特有的安全漏洞進行了總結。這份清單是開發人員、審計師和安全專業人士的重要參考,幫助他們優先處理最關鍵的風險。

Password Hashing Concepts

單純的雜湊運算已無法有效防止密碼被破解,透過一些技巧可以有效抵禦彩虹表攻擊、大規模離線暴力破解,以及部分資料外洩所帶來的風險。

區塊鏈

區塊鏈是一種分散式帳本技術,具有去中心化、不可篡改和高透明性等特點。它廣泛應用於加密貨幣、智能合約及其他領域。

區塊鏈錢包

用來管理加密貨幣的應用通常被稱為區塊鏈錢包,錢包地址類似於你的銀行帳號,可以公開給任何人用來接收轉帳,不同鏈上的錢包格式不同

Password Hashing Functions

專為密碼儲存和金鑰衍生的密碼雜湊函數,包括 Bcrypt、PBKDF2、Scrypt 和 Argon2,各具特色。Bcrypt 早期設計,穩定但抗硬體攻擊有限;PBKDF2 標準化,逐漸被 Argon2 取代;Scrypt 記憶體密集,抗硬體攻擊強;Argon2 最新,安全性最高。

Hashing Functions

雜湊函數是將任意長度輸入轉換為固定長度的過程,並具備單向性、抗碰撞性和快速計算等特性。應用包括資料完整性驗證、密碼儲存和數位簽章。加鹽值可防止彩虹表攻擊,提高安全性,避免相同密碼產生相同雜湊值。

Subdomain Takeover

子域名接管是一種攻擊技術,當子域名指向的資源已經被刪除或不再存在時,攻擊者可以利用這個機會接管該子域名。

Nuclei

Nuclei 用於基於模板跨目標發送請求,從而實現零誤報並提供對大量主機的快速掃描。