DeFi
DeFi 是建立在區塊鏈(多數是以太坊)上的金融服務生態系,它的核心理念是用智能合約取代傳統銀行或中介機構,讓任何人只要有錢包與網路,就能直接使用金融服務。
鏈上攻擊
針對區塊鏈網絡本身發起的攻擊,旨在破壞其安全性、一致性或可用性,通常利用區塊鏈的共識機制、網絡結構或協議漏洞。
共識機制
共識機制Consensus是區塊鏈技術的核心組成部分,用於確保去中心化網絡中的所有節點對區塊鏈上的數據達成一致,維護帳本的可信性和一致性。
OWASP Top 10 2021
OWASP Top 10是一份由開放式網路應用安全計畫制定的網路應用程式安全風險清單,涵蓋存取控制失效、加密失效、注入攻擊等十種主要風險,並基於全球攻擊數據與社群調查進行排序,旨在提高安全意識與防護措施。
Cyber Kill Chain
網路攻擊鏈是Lockheed Martin提出的資安攻防架構,旨在協助防禦者識別與阻止駭客入侵行動。Cyber Kill Chain將攻擊者從入侵準備到完成任務的過程劃分為七個明確步驟,並強調只要能在任一階段成功中斷攻擊鏈,便可有效阻止整體攻擊行動的達成。
ATT&CK
由 MITRE 公司開發的知識庫和框架,用於描述和分類網路攻擊者的策略(Tactics)、技術(Techniques)和程序(Procedures),也稱TTP
Digital Signature
Digital Signature是一種利用密碼學技術確保數位訊息的真實性、完整性及不可否認性。它廣泛應用於電子合約和網路交易,根據非對稱加密原理運作,透過簽署和驗證兩個階段完成,並具備法律效力。
medusa and hydra
medusa 和 hydra 都是常見的暴力破解工具,廣泛用於滲透測試與安全評估中。它們的主要用途是針對遠端服務進行帳號密碼爆破
WEB Privilege Escalation
存取控制是限制誰或什麼被授權進行操作或存取資源的應用。設計不良的WEB存取控制很常見,而且可能導致嚴重的安全漏洞。設計和管理存取控制是一個複雜且不斷變化的問題,因此出錯的可能性很高。
Business Logic Vulnerabilities
用合法掩飾非法,這4種業務邏輯安全漏洞,穿過保護機制套利提權。這是應用程式設計和實作中常見的缺陷,允許攻擊者引發意外行為。 這可能使攻擊者能夠操縱合法功能來實現惡意目標。 識別它們通常需要一定程度的人類知識,例如了解業務領域或攻擊者在給定上下文中可能有什麼目標。 這使得使用自動漏洞掃描器很難檢測到它們。 因此,Business Logic Vulnerabilities(業務邏輯漏洞)通常是錯誤賞金獵人和手動測試人員的重要目標。