一次区块链的安全研究

2025年2月5日00:31:41评论7 views字数 603阅读2分0秒阅读模式

笔者提供思路，抛砖引玉，欢迎广大学者提出建议，本人技术不足，海涵。

文本声明：严禁利用任何漏洞进行恶意获取利益，严格遵守国家网络安全法。

该文对于虚拟货币的第三方漏洞研究进行深度剖析，接下来直入主题。

对于该页面的功能点没必要进行深度测试，只不过是找了某个虚拟货币挖掘的web页面，机制会相对较弱一些，选择email登录。

无意间发现了注册，那就今日说法一下。

邀请码从群内潜伏随便来了一个hhhh，研究需要。

先抓个包吧，猜都能猜到肯定有验证机制，区块链的经验之谈。

token是固定的111111，是没有登录的缘故（js代码审计也是一门学问）

这个包放在这里是方便大家对后续关键步骤的理解。

这里就组合拳爆破一下就行，如果遇到加密可以自行进行js逆向，逆向过程就不在这里赘述了，思路在以往的文章中有思路，更细致全面的思路在日后会讲解。

登录进来后有一个零撸积分。。。。。果然网安的尽头不是炒币就是开课hhhh。

这里就是入口，一个接硬币的小游戏，在玩的过程中抓包。

响应包内有硬币的ID号，多余的操作不方便展现。总而言之，逻辑已成，剩下就交给代码就行，对于sign绕过，可以用js逆向进行解决在此文章中不赘述，总体逻辑思路就是，发现功能点->找寻关键位置->修改任意参数进行逻辑验证。

文章末，如果有师傅想要深入交流可以私信发至公众号后台，相互学习。

原文始发于微信公众号（Joker One Security）：一次区块链的安全研究

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

Web3 安全入门避坑指南｜剪贴板安全