38

黑客思维之比特币之殇

 5 years ago
source link: http://mp.weixin.qq.com/s/7hUiqDJVod71n7asf0WYtQ
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

黑客思维之比特币之殇

Original 猜猜我是谁 杂术馆 2017-12-25 07:53 Posted on

犹太人说:人类一思考,上帝就发笑
在黑客的眼中,难道漏洞就仅仅只是常规漏洞吗?
今天小编就带大家了解时间跟人性的的点滴

对于比特币,一边是疾风骤雨,山呼海啸;一边是风和日丽,朗朗乾坤。让我们在不断的走走停停中去思考,让我们在不断的尝试中去进步,让我们一起去思考未来的安全的雏型。关注“杂术馆”,让我们一起走向未来。。。

来首先我们看看国外最大的比特币交易网站localbitcoin.com的交易流程:

Image

在LocalBitcoins.com 您和真人进行交易。 和中央式的比特币交易所不同,您直接和另一个交易者进行交易。 这使得整个交易过程快速有效,因为中间不牵涉任何公司。您直接得到您的比特币。 同时,LocalBitcoins.com 可以支持各种不同的付款方式。 对每一笔交易,LocalBitcoins.com 提供托管或转账服务,保护买卖双方。
下面我们总结出交易的流程如下:

卖家挂单出售比特币----》买家下单---〉
买家打款给卖家---》在网站上传打款证据---〉
确认已支付款项---》卖家确认收款---〉
卖家放行比特币---》交易完成

网站设计的流程看起来很完美,当然网站的安全也做的相当安全,不会给黑客任何的机会。难道这样真的就安全了吗?
今天我们就来讲讲比特币交易中的一些黑客思维—-时间的用法:
1 在我们对网站充分的了解之后,发现网站处理异议的时间为16个小时,我们在测试过程中需要做以下相关的准备:

1〉 卖家数据获取(主要获取比特币
   价格偏高,并且长期不在线的卖家) 2〉 买家下单,并使用ps伪造证据,确认已付款 3〉 发起一次投诉,以及创建异议工单 4〉 等待时间 5〉 得到比特币

2 比特币的时间属性,作为一种虚拟的加密数字货币,它有着时时的价格波动。在此基础上,我们如何通过一些时间属性来让自己盈利呢:

1〉依然是利用时间,我们在某个时间直接
  下单购买比特币然后确认付款,继续等待时间 2〉如果十个小时以后,比特币涨价我们能够
  有钱赚就再付款,否则就直接取消订单 3〉获取比特币差价

详细实践内容,我们就在此不做介绍了,来讲解一下可能成功的原因:

1 卖家觉得自己的价格高于市场价,
 并对自己充满自信。认为没有几
 个傻瓜来购买他的比特币,并对
 自己邮件不太关注 2 完全是利用了厂外交易比特币的
 时间差,来获取几个小时的差价获利

任何的交易都是具有风险的,大家在交易的过程中得时刻关注安全,以免损失钱财

未来我们在学习安全的过程中,应该更加注重人性,业务逻辑,时间特性等相关漏洞。毕竟随着时间的流逝,各种waf的崛起,传统意义上的漏洞会越来越难做,但是相反未来逻辑,思维漏洞必将崛起,成为网络安全的痛点。关注“杂术馆”,让我们一起学习一起进步。


About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK