OWASP Smart Contract Top 10
隨著區塊鏈和智能合約的興起,OWASP 也發布了 「Smart Contract Top 10」,這份清單針對智能合約特有的安全漏洞進行了總結。這份清單是開發人員、審計師和安全專業人士的重要參考,幫助他們優先處理最關鍵的風險。
Password Hashing Concepts
單純的雜湊運算已無法有效防止密碼被破解,透過一些技巧可以有效抵禦彩虹表攻擊、大規模離線暴力破解,以及部分資料外洩所帶來的風險。
區塊鏈
區塊鏈是一種分散式帳本技術,具有去中心化、不可篡改和高透明性等特點。它廣泛應用於加密貨幣、智能合約及其他領域。
區塊鏈錢包
用來管理加密貨幣的應用通常被稱為區塊鏈錢包,錢包地址類似於你的銀行帳號,可以公開給任何人用來接收轉帳,不同鏈上的錢包格式不同
Password Hashing Functions
專為密碼儲存和金鑰衍生的密碼雜湊函數,包括 Bcrypt、PBKDF2、Scrypt 和 Argon2,各具特色。Bcrypt 早期設計,穩定但抗硬體攻擊有限;PBKDF2 標準化,逐漸被 Argon2 取代;Scrypt 記憶體密集,抗硬體攻擊強;Argon2 最新,安全性最高。
Hashing Functions
雜湊函數是將任意長度輸入轉換為固定長度的過程,並具備單向性、抗碰撞性和快速計算等特性。應用包括資料完整性驗證、密碼儲存和數位簽章。加鹽值可防止彩虹表攻擊,提高安全性,避免相同密碼產生相同雜湊值。
Subdomain Takeover
子域名接管是一種攻擊技術,當子域名指向的資源已經被刪除或不再存在時,攻擊者可以利用這個機會接管該子域名。
Penetration Testing
滲透測試是一種主動的資訊安全評估方法,通過模擬真實世界中駭客的攻擊行為,來測試和評估系統的安全性。
Vulnerability Assessment
弱點掃描服務是一種資訊安全評估方法,旨在識別、分類和評估資訊系統、應用程式或網路中的安全漏洞
Nuclei
Nuclei 用於基於模板跨目標發送請求,從而實現零誤報並提供對大量主機的快速掃描。