原创 LCTF2018 ggbank 薅羊毛實戰
作者:LoRexxar'@知道創宇404區塊鏈安全研究團隊 時間:2018年11月20日11.18號結束的LCTF2018中有一個很有趣的智能合約題目叫做ggbank,題目的原意是考察弱隨機數問題,但在題目的設定上挺有意思的,加入了一個對地
2018-12-17 10:50:03
原创 以太坊合約審計 CheckList 之變量覆蓋問題
2018年11月6日,DVP上線了一場“地球OL真實盜幣遊戲”,其中第二題是一道智能合約題目,題目中涉及到的了一個很有趣的問題,這裏拿出來詳細說說看。https://etherscan.io/address/0x5170a14aa36245
2018-12-14 14:50:06
原创 以太坊合約審計 CheckList 之“以太坊智能合約編碼隱患”影響分析報告
一、簡 介 在知道創宇404區塊鏈安全研究團隊整理輸出的《知道創宇以太坊合約審計CheckList》中,我們把超過10個問題點歸結爲開發者容易忽略的問題隱患,其中包括“語法特性”、“數據私密性”、“數據可靠性”、“gas消耗優化”、“合約
2018-12-11 11:00:02
1
原创 全新突破 ZoomEye 2018 強勢發佈!
2013年,知道創宇基於互聯網大數據基礎測繪的理念,打造了“ZoomEye”(鍾馗之眼)網絡空間安全搜索引擎,針對全球網絡空間基礎設施、網絡設備進行指紋特徵檢索,開創了國內網絡空間資源測繪工作的先河。自發布以來,ZoomEye形成並不斷豐富
2018-12-07 10:49:59
2
原创 libSSH 認證繞過漏洞(CVE-2018-10933)分析
作者: Hcamael@知道創宇404實驗室 時間: 2018/10/18最近出了一個libSSH認證繞過漏洞,剛開始時候看的感覺這洞可能挺厲害的,然後很快github上面就有PoC了,msf上很快也添加了exp,但是在使用的過程中發現無法
2018-11-22 18:18:07
7
原创 從 CVE-2018-8495 看 PC 端 url scheme 的安全問題
作者: 0x7F@知道創宇404實驗室 時間: 2018/10/18 0x00 前 言 本文受 CVE-2018-8495 漏洞的啓發,以學習的目的,針對 PC 端 url scheme 的安全問題進行了分析研究。說到 url scheme
2018-11-08 16:02:57
原创 智能合約遊戲之殤——Dice2win安全分析
作者:LoRexxar'@知道創宇404區塊鏈安全研究團隊 發佈時間:2018/10/18Dice2win是目前以太坊上很火爆的區塊鏈博彩遊戲,其最大的特點就是理論上的公平性保證,每天有超過1000以太幣被人們投入到這個遊戲中。Dice2w
2018-11-05 18:22:59
5
原创 Git Submodule 漏洞(CVE-2018-17456)分析
作者:Hcamael@知道創宇404實驗室 時間:2018/10/15國慶節的時候,Git爆了一個RCE的漏洞,放假回來進行應急,因爲公開的相關資料比較少,挺頭大的,搞了兩天,RCE成功了收集資料 一開始研究這個漏洞的時候,網上公開的資料非
2018-10-23 15:33:01
5
原创 以太坊合約審計 CheckList 之“以太坊智能合約編碼設計問題”影響分析報告
一、簡 介 在知道創宇404區塊鏈安全研究團隊整理輸出的《知道創宇以太坊合約審計CheckList》中,把“地址初始化問題”、“判斷函數問題”、“餘額判斷問題”、“轉賬函數問題”、“代碼外部調用設計問題”、“錯誤處理”、“弱隨機數問題”等
2018-10-23 15:33:01
原创 這次,知道創宇邀請你一同成爲“安全俠客”
說到俠客,你會想到什麼?是《倚天屠龍記》裏豪氣干雲的張無忌還是《臥虎藏龍》裏仗劍走天涯的李慕白?相信每個人心中對俠客或許會有不同的理解,但是始終不變一定是他”俠之大者,爲國爲民“的精神。而這次,我們邀請大家與我們一同成爲“安全俠客”,一起做
2018-10-23 15:33:01
4
原创 blockwell.ai KYC Casper Token “牛皮癬廣告” 事件分析
作者:知道創宇404區塊鏈安全研究團隊 時間:2018年9月13日一、背 景 2018年9月7日早上1點左右,許多以太坊錢包賬戶都收到了一種名爲blockwell.ai KYC Casper Token代幣轉進/出賬消息:令人奇怪的是這些賬
2018-10-23 15:27:54
原创 Xdebug 攻擊面在 PhpStorm 上的現實利用
作者:dawu@知道創宇404實驗室 時間:2018年8月16日 0x00 前 言在調試 Drupal 遠程命令執行漏洞(CVE-2018-7600 && CVE-2018-7602)時,存在一個超大的數組 $form 。在該數組中尋找到
2018-09-30 09:38:12
1
原创 智能合約遊戲之殤——God.Game 事件分析
作者:Sissel@知道創宇404區塊鏈安全研究團隊 發佈時間:2018/08/24 0x00 前言當你凝視深淵時,深淵也在凝視着你。越來越多的樂透、賭博遊戲與區塊鏈體系結合起來,步入衆多投資者和投機者的視野中。區塊鏈可以說是這類遊戲的溫牀
2018-09-30 09:38:12
1
原创 智能合約遊戲之殤——類 Fomo3D 攻擊分析
作者:LoRexxar'@知道創宇404區塊鏈安全研究團隊 發佈時間:2018/08/23 2018年8月22日,以太坊上異常火爆的Fomo3D遊戲第一輪正式結束,錢包開始爲0xa169的用戶最終拿走了這筆約10,469 eth的獎金,換算
2018-09-30 09:38:12
3
原创 ECShop 0day 的墮落之路
作者: Badcode@知道創宇404實驗室 時間: 2018/09/04背 景ECShop是一款B2C獨立網店系統,適合企業及個人快速構建個性化網上商店。系統是基於PHP語言及MYSQL數據庫構架開發的跨平臺開源程序。2018年6月13日
2018-09-30 09:38:12
6