CN110912855A - 一种基于渗透性测试用例集的区块链架构安全评估方法及系统 - Google Patents

一种基于渗透性测试用例集的区块链架构安全评估方法及系统 Download PDF

Info

Publication number
CN110912855A
CN110912855A CN201811078962.3A CN201811078962A CN110912855A CN 110912855 A CN110912855 A CN 110912855A CN 201811078962 A CN201811078962 A CN 201811078962A CN 110912855 A CN110912855 A CN 110912855A
Authority
CN
China
Prior art keywords
test
safety
security
block chain
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811078962.3A
Other languages
English (en)
Inventor
魏亮
谢玮
卜哲
孟楠
戴方芳
崔枭飞
石悦
徐扬
郑威
赵相楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Academy of Information and Communications Technology CAICT
Original Assignee
China Academy of Information and Communications Technology CAICT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Academy of Information and Communications Technology CAICT filed Critical China Academy of Information and Communications Technology CAICT
Priority to CN201811078962.3A priority Critical patent/CN110912855A/zh
Publication of CN110912855A publication Critical patent/CN110912855A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种基于渗透性测试用例集的区块链架构安全评估方法及系统,其目的是针对区块链技术架构的层次化模型,基于渗透性测试方法对区块链技术架构关键协议、核心机制等方面的安全性进行评估,以在区块链平台、系统、应用等正式投入使用前及时识别安全风险和脆弱性,也可对运行中的区块链架构进行安全性评估,以评估结果指导区块链平台本身安全性的提升和在不同场景下的应用安全性。

Description

一种基于渗透性测试用例集的区块链架构安全评估方法及 系统
技术领域
本发明涉及网络安全领域,具体涉及一种基于渗透性测试用例集的区块链架构安全评估方法及系统。
背景技术
区块链作为一种数据安全存储、传播和管理机制,通过让用户共同参与数据的计算和存储,并互相验证数据的真实性,可实现透明的数据开放共享,成为近年来炙手可热的互联网技术。目前,区块链技术已在金融领域得到了广泛的应用,并向医疗、通信、保险等行业领域迅速渗透。
随着区块链技术的发展,各行业逐渐认识到其技术优势和应用价值,与此同时,区块链应用过程中存在的安全风险也日益凸显。目前,鲜有针对区块链技术架构的安全评估方法及系统,一方面,区块链技术迅猛发展的同时,大量区块链平台、系统、应用等产品在实际应用中安全事件频发,大多数区块链产品开发者和服务提供者在其产品投入市场前,未充分重视、及时识别和采取措施应对安全风险。另一方面,对区块链技术架构实施系统性的安全评估需要认识清晰区块链技术的核心机制和应用场景特性,并针对其技术架构、应用场景和攻击模式等提出针对性的测试方法和评价方式,目前国内外关于区块链的技术架构尚无统一的定义,但ITU、ISO、TC260、CCSA等国内外标准化组织在相关标准文件中均从不同角度对其进行了描述和分析,并在技术架构的关键层次和核心机制上达成了共识。
发明内容
本发明提供一种基于渗透性测试用例集的区块链架构安全评估方法及系统,其目的是针对区块链技术架构的层次化模型,基于渗透性测试方法对区块链技术架构关键协议、核心机制等方面的安全性进行评估,以在区块链平台、系统、应用等正式投入使用前及时识别安全风险和脆弱性,也可对运行中的区块链架构进行安全性评估,以评估结果指导区块链平台本身安全性的提升和在不同场景下的应用安全性。
本发明的目的采用以下技术方案实现:
一种基于渗透性测试用例集的区块链架构安全评估方法,包括:
根据区块链平台核心架构的层次性特性,自下而上将测试对象的核心功能进行层次化拆分,在存储层、扩展层、网络层和应用层等不同层面映射测试对象;
根据测试需求、测试对象和测试目标,对应测试对象所属评估层级,从测试用例集中选取针对性的测试用例,形成组合测试方案;
根据制定的测试方案,对区块链架构实施安全测试,测试方法包括但不限于:
各层安全测试用例的组合,包括:
存储层测试用例:扫描LevelDB、Redis等数据库中可能存在的安全漏洞,实施DDoS攻击性测试,实施病毒木马攻击性测试,实施数据窃取、数据破坏等模拟性攻击;
协议层测试用例:扫描共识机制、P2P协议中存在的安全漏洞,实施BGP劫持、窃听、阻塞等流量接管手段,实施节点仿冒、非法提权等攻击性测试手段;
扩展层测试用例:实施代码分析,发现智能合约中存在的控制流劫持、未授权访问、拒绝服务等安全漏洞,验证合约虚拟机认证控制机制;
应用层测试用例:探测私钥管理机制、账号管理机制、应用软件漏洞,模拟流量攻击等测试手段;
可能的各层间接口安全测试;
实施组合测试用例后,对测试结果进行去重、取样处理,标准化测试结果,包括但不限于:
对测试结果中处于同一技术架构层、对同一测试对象造成影响的的安全风险项实施合并去重;
对同一测试对象的概率性测试结果实施取样处理;
对测试标量不统一的测试结果实施归一化处理。
测试结果采集经标准化处理后,评估系统根据测试结果对整个区块链架构的安全性进行量化评估,包括:
基于安全评估知识库,建立安全风险递阶层次结构;
根据区块链技术架构层次模型,建立安全风险判断指标项;
对各关键层级存在的安全风险实施两两比对,按9分位比率排定各层级安全风险的威胁权重,依次构造出评估安全风险的判断矩阵
Figure DEST_PATH_IMAGE001
、归一化矩阵
Figure 384590DEST_PATH_IMAGE002
和按行求和矩阵C;
矩阵A满足:
Figure 977376DEST_PATH_IMAGE004
其中,
Figure DEST_PATH_IMAGE005
为要素
Figure DEST_PATH_IMAGE007
与要素
Figure DEST_PATH_IMAGE009
为重要程度比较结果,且满足:
Figure 107006DEST_PATH_IMAGE010
Figure DEST_PATH_IMAGE011
将判断矩阵
Figure 796745DEST_PATH_IMAGE001
每一列归一化,得到矩阵B:
Figure 435186DEST_PATH_IMAGE012
,将矩阵B按行求和,得到矩阵C:
Figure DEST_PATH_IMAGE013
,矩阵C中元素代表安全评估知识库中安全风险对应的权重;
根据安全评估知识库计算出安全风险对应的权重后,量化区块链架构安全性。
一种基于渗透性测试用例集的区块链架构安全评估系统,其特征在于,包括:
评估初始化模块,确定测试需求、测试对象和测试目标,从测试用例集中选取针对性的测试用例组合形成评估方案;
安全测试模块,根据测试自下而上对区块链平台存储层、协议层、扩展层和应用层进行安全测试,并产生和记录安全测试结果;
结果采集模块,用于采集上述安全测试产生的结果,并对安全测试结果标准化处理和反馈给安全评估模块;
安全评估模块,用于基于安全量化知识库和结果采集模块反馈的安全测试结果,对被测架构的安全性进行评估。
评估系统基于安全评估知识库对采集的安全测试结果进行安全评估,包括:
根据安全测试结果中各区块链关键层级所包含的安全风险,基于安全评估知识库中计算用于量化该类风险的权重,量化区块链平台安全性。
本发明实施例中,安全评估的对象是区块链架构,对区块链架构的关键层进行安全测试,并产生和记录安全测试结果,当评估系统收到初始化的安全评估需求时,通过从测试用例集中选取针对性的用例组合,采集安全测试结果,并基于区块链平台安全量化知识库对安全测试结果进行量化分析。这样,便通过基于渗透性测试用例集的区块链架构安全评估系统达到量化和评估区块链架构安全性的目的,并且,基于量化评估结果,在区块链平台正式投入使用前,及时发现区块链平台安全风险,降低安全事件发生概率,达到推动区块链平台安全发展的目的。
附图说明
图1为本申请实施例中区块链架构安全评估系统架构图;
图2为本申请实施例中区块链架构安全测试方案生成流程图;
图3为本申请实施例中区块链架构安全评估流程图;
图4为本申请实施例中区块链安全风险递阶层次结构图。
具体实施方式
为了实现及时发现区块链技术架构安全风险,提高区块链产品和服务安全性,促进区块链技术安全应用,本申请实施例中设计了一套新的安全评估系统,该安全评估系统针对区块链技术架构,根据区块链技术架构层次特性,对其进行安全测试,根据测试结果评估区块链技术架构安全性。
下面结合附图对本申请的实施方式进行详细说明。
参阅图1所示,基于区块链平台的安全评估系统至少包括评估初始化模块10,安全测试模块11、结果采集模块12、安全评估模块13、安全测试用例集14、安全评估知识库15;其中,评估初始化模块10用于基于测试需求、测试对象和测试目标,从测试用例集14选取适合的测试用例,形成针对性的评估方案并反馈给安全测试模块11;安全测试模块11用于根据评估初始化模块10形成的评估方案对区块链平台各关键层级实施安全测试,并产生测试结果;结果采集模块12用于采集安全测试模块11产生的安全测试结果,标准化处理后反馈给安全评估模块13;安全评估模块13用于基于安全评估知识库,评估由结果采集模块12反馈的安全测试结果中所包含的安全风险,量化区块链平台安全性。
基于上述区块链架构安全评估系统,参阅图2所示,本申请实施例中,进行安全评估的具体流程如下:
步骤200:评估初始化模块10根据测试需求、测试对象和测试目标,从测试用例集14选取测试用例,形成针对性的评估方案。
测试用例集14所包含的测试用例包括:
表1
关键层级 安全测试项 安全测试用例
应用层 A<sub>1</sub>、A<sub>2</sub>、A<sub>3</sub>、A<sub>4</sub>…..A<sub>n</sub> 探测私钥管理机制、账号管理机制、应用软件漏洞,模拟流量攻击等测试手段等;
扩展层 E<sub>1</sub>、E<sub>2</sub>、E<sub>3</sub>、E<sub>4</sub>…..E<sub>n</sub> 发现智能合约中存在的控制流劫持、未授权访问、拒绝服务等安全漏洞,验证合约虚拟机认证控制机制等;
协议层 P<sub>1</sub>、P<sub>2</sub>、P<sub>3</sub>、P<sub>4</sub>…..P<sub>n</sub> 共识机制、P2P协议中存在安全漏洞,实施BGP劫持、窃听、阻塞等流量接管手段等;
存储层 S<sub>1</sub>、S<sub>2</sub>、S<sub>3</sub>、S<sub>4</sub>…..S<sub>n</sub> LevelDB、Redis等数据库中可能存在的安全漏洞,实施DDoS攻击性测试,实施病毒木马攻击性测试等。
如图3所示,评估初始化模块根据待测区块链平台的特性,包括测试需求、测试对象、测试目标,选取并组合A1、A4、E5、P11、S3、S17测试用例,形成安全测试方案,并反馈给安全测试模块11;
步骤210:安全测试模块11根据安全测试方案,对区块链平台实施安全测试,并产生安全测试结果。
如图1所示,在实际区块链平台安全测试场景中,根据安全测试方案,每个层级可以实施的安全测试如下所示:
对区块链平台存储层区块链基础设施等核心功能的安全测试主要包括检测和测试是否存在基础设施安全风险、网络攻击威胁、数据丢失和泄露风险等,包括:
基础设施安全风险,主要测试来自区块链存储设备自身以及所处环境的安全风险;
网络攻击威胁,测试包括是否存在可以被用于进行的DDoS攻击、病毒木马攻击等设备软硬件漏洞;
数据丢失和泄露风险,测试是否存在针对区块数据和数据文件的窃取、破坏,或因误操作、系统故障、管理不善等。
例如,对数据的安全测试项S17可以包括:
当处理敏感数据时, 不以明文形式将数据写到其它单独的文件或者临时文件中;
数据备份应该加密, 恢复数据应考虑恢复过程的异常通讯中断等, 数据恢复后再使用前应该经过校验;
在数据删除之前,应当通知用户或者应用程序提供一个“取消”命令的操作,并能够按照设计要求实现其功能;
在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容等。
对区块链平台协议层P2P网络等核心功能的安全测试主要包括区块链技术核心机制中是否存在潜在安全缺陷等,包括:
协议漏洞,测试是否存在针对共识机制漏洞的算力攻击、分叉攻击、女巫攻击,以及是否存在P2P协议缺陷;
流量攻击,测试是否存在BGP劫持、窃听、阻塞等安全风险;
未授权节点,测试区块链中是否存在未授权节点。
例如,对P2P协议缺陷的安全测试P7可以通过长时间、无间断注册激活区块链社区空账户地址,测试区块链社区状态是否膨胀。
对区块链平台扩展层智能合约等核心功能的安全测试主要包括测试代码实现中是否存在安全漏洞等,包括:
合约开发漏洞,在区块链钱包、众筹、代币发行等智能合约典型应用中,测试代码的安全;
合约运行安全,合约虚拟机是区块链应用中智能合约的运行环境,测试合约虚拟机自身是否存在安全漏洞,或验证,以及控制等机制是否完善。
例如,对利用The DAO智能合约漏洞实施重入攻击的测试项E9可以包括以下步骤:
构造恶意合约并调用The DAO智能合约的donate函数;
触发恶意合约的fallback函数,根据运行结果判断该智能合约是否存在漏洞。
对区块链平台应用层app、Web等的安全测试主要包括测试是否存在传统安全隐患。
对区块链应用层app的安全测试可以包括在身份标识和鉴别机制、口令复杂度检查功能、登陆失败处理功能、授权访问和控制功能、敏感信息标记功能、安全审计功能等;
例如,以身份标识和鉴别机制安全测试为例,包括以下测试项:
区块链app应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
区块链app应提供用户身份标识唯一检查功能,保证应用系统中不存在重复用户身份标识;
对区块链app的身份标识和鉴别机制安全测试项A5具体方法如下:
检查app是否有登陆模块,并检查用户是否可通过该模块进行身份鉴别;
检查用户的唯一身份标识符,并新建一个与现有用户身份标识符重复的用户,测试是否可以通过该新建用户登录;
身份鉴别失败时,app应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
对区块链应用层Web平台的安全测试包括SQL注入测试、XSS(跨站点脚本攻击)测试和CSRF(跨站点伪造请求)测试。
例如,对区块链应用层Web平台XSS测试项A10可以包括以下步骤:
读取Web平台代码,查找关键的变量;
客户端将数据传送给Web 服务端一般通过三种方式 Querystring,表单,以及cookie;
如果变量未进行Html编码处理,则该变量存在XSS安全风险。
安全测试模块11在对区块链平台进行安全测试后,产生安全测试结果,包括安全测试日志等。
步骤220:结果采集模块11采集待评估的区块链平台安全测试结果,对测试结果实施去重、取样和规范化处理,并反馈给安全评估模块13.
安全测试模块11产生安全测试结果后,由结果采集模块12进行采集,并对其进行去重、取样等标准化处理,提取安全评估模块13所需要的字段,然后将标准化处理后的安全测试结果发给安全评估模块13;
采取这种方式,将评估目标集中在关键字段,提高安全评估模块12的评估效率。例如,标准化后的安全测试结果可包括的重点字段如表2所示:
表2
Figure 312007DEST_PATH_IMAGE014
步骤230:安全评估模块13根据安全测试结果,基于安全评估知识库,如图4所示计算安全风险权重,对区块链平台进行量化评估。
安全评估模13接收结果采集模块12发送的标准化安全测试结果,从安全评估知识库中选取用于量化该类风险的权重,具体步骤包括:
测试结果产生并标准化后,根据测试结果对区块链平台进行安全评估,包括:
基于安全评估知识库,计算安全各类风险对应的危害权重,并根据权重,量化区块链平台安全性。
本申请实施例中,安全评估系统的对象是区块链平台,对区块链平台应用架构的各层进行安全测试,产生安全测试结果,当评估系统收到确定的安全评估需求时,由结果采集模块采集,进行安全风险关键字标准化处理,并由安全评估模块基于安全评估知识库,量化区块链平台安全性,达到识别和发现区块链平台安全风险的目的,并且,基于量化评估结果,在区块链平台投入使用前在区块链平台正式投入使用前,避免安全事件的发生,达到推动区块链平台安全发展的目的。
本申请实施例可提供为方法、系统或计算机程序。因此,本申请可采用完全软件实施例或软件和硬件结合实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (17)

1.一种基于渗透性测试用例集的区块链架构安全评估系统至少包括评估初始化模块10,安全测试模块11、结果采集模块12、安全评估模块13、安全测试用例集14、安全评估知识库15;其中,评估初始化模块10用于基于测试需求、测试对象和测试目标,从测试用例集14选取适合的测试用例,形成针对性的评估方案并反馈给安全测试模块11;安全测试模块11用于根据评估初始化模块10形成的评估方案对区块链平台各关键层级实施安全测试,并产生测试结果;结果采集模块12用于采集安全测试模块11产生的安全测试结果,标准化处理后反馈给安全评估模块13;安全评估模块13用于基于安全评估知识库,评估由结果采集模块12反馈的安全测试结果中所包含的安全风险,量化区块链平台安全性。
2.基于上述区块链架构安全评估系统,进行安全评估的具体流程如下:
步骤200:评估初始化模块10根据测试需求、测试对象和测试目标,从测试用例集14选取测试用例,形成针对性的评估方案。
3.测试用例集14所包含的测试用例包括:
表1
Figure 222112DEST_PATH_IMAGE001
评估初始化模块根据待测区块链平台的特性,包括测试需求、测试对象、测试目标,选取并组合A1、A4、E5、P11、S3、S17测试用例,形成安全测试方案,并反馈给安全测试模块11;
步骤210:安全测试模块11根据安全测试方案,对区块链平台实施安全测试,并产生安全测试结果。
4.在实际区块链平台安全测试场景中,根据安全测试方案,每个层级可以实施的安全测试如下所示:
对区块链平台存储层区块链基础设施等核心功能的安全测试主要包括检测和测试是否存在基础设施安全风险、网络攻击威胁、数据丢失和泄露风险等,包括:
基础设施安全风险,主要测试来自区块链存储设备自身以及所处环境的安全风险;
网络攻击威胁,测试包括是否存在可以被用于进行的DDoS攻击、病毒木马攻击等设备软硬件漏洞;
数据丢失和泄露风险,测试是否存在针对区块数据和数据文件的窃取、破坏,或因误操作、系统故障、管理不善等。
5.对数据的安全测试项S17可以包括:
当处理敏感数据时, 不以明文形式将数据写到其它单独的文件或者临时文件中;
数据备份应该加密, 恢复数据应考虑恢复过程的异常通讯中断等, 数据恢复后再使用前应该经过校验;
在数据删除之前,应当通知用户或者应用程序提供一个“取消”命令的操作,并能够按照设计要求实现其功能
在没有用户明确许可的前提下不损坏删除个人信息管理应用程序中的任何内容等。
6.对区块链平台协议层P2P网络等核心功能的安全测试主要包括区块链技术核心机制中是否存在潜在安全缺陷等,包括:
协议漏洞,测试是否存在针对共识机制漏洞的算力攻击、分叉攻击、女巫攻击,以及是否存在P2P协议缺陷;
流量攻击,测试是否存在BGP劫持、窃听、阻塞等安全风险;
未授权节点,测试区块链中是否存在未授权节点。
7.对P2P协议缺陷的安全测试P7可以通过长时间、无间断注册激活区块链社区空账户地址,测试区块链社区状态是否膨胀。
8.对区块链平台扩展层智能合约等核心功能的安全测试主要包括测试代码实现中是否存在安全漏洞等,包括:
合约开发漏洞,在区块链钱包、众筹、代币发行等智能合约典型应用中,测试代码的安全;
合约运行安全,合约虚拟机是区块链应用中智能合约的运行环境,测试合约虚拟机自身是否存在安全漏洞,或验证,以及控制等机制是否完善。
9.对利用The DAO智能合约漏洞实施重入攻击的测试项E9可以包括以下步骤:
构造恶意合约并调用The DAO智能合约的donate函数;
触发恶意合约的fallback函数,根据运行结果判断该智能合约是否存在漏洞。
10.对区块链平台应用层app、Web等的安全测试主要包括测试是否存在传统安全隐患。
11.对区块链应用层app的安全测试可以包括在身份标识和鉴别机制、口令复杂度检查功能、登陆失败处理功能、授权访问和控制功能、敏感信息标记功能、安全审计功能等;
以身份标识和鉴别机制安全测试为例,包括以下测试项:
区块链app应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
区块链app应提供用户身份标识唯一检查功能,保证应用系统中不存在重复用户身份标识;
对区块链app的身份标识和鉴别机制安全测试项A5具体方法如下:
检查app是否有登陆模块,并检查用户是否可通过该模块进行身份鉴别;
检查用户的唯一身份标识符,并新建一个与现有用户身份标识符重复的用户,测试是否可以通过该新建用户登录;
身份鉴别失败时,app应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
12.对区块链应用层Web平台的安全测试包括SQL注入测试、XSS(跨站点脚本攻击)测试和CSRF(跨站点伪造请求)测试。
13.对区块链应用层Web平台XSS测试项A10可以包括以下步骤:
读取Web平台代码,查找关键的变量;
客户端将数据传送给Web 服务端一般通过三种方式 Querystring,表单,以及cookie;
如果变量未进行Html编码处理,则该变量存在XSS安全风险。
14.安全测试模块11在对区块链平台进行安全测试后,产生安全测试结果,包括安全测试日志等。
15.步骤220:结果采集模块11采集待评估的区块链平台安全测试结果,对测试结果实施去重、取样和规范化处理,并反馈给安全评估模块13.
安全测试模块11产生安全测试结果后,由结果采集模块12进行采集,并对其进行去重、取样等标准化处理,提取安全评估模块13所需要的字段,然后将标准化处理后的安全测试结果发给安全评估模块13;
采取这种方式,将评估目标集中在关键字段,提高安全评估模块12的评估效率。
16.标准化后的安全测试结果可包括的重点字段如表2所示:
表2
Figure 945217DEST_PATH_IMAGE002
步骤230:安全评估模块13根据安全测试结果,基于安全评估知识库,如图4所示计算安全风险权重,对区块链平台进行量化评估。
17.安全评估模13接收结果采集模块12发送的标准化安全测试结果,从安全评估知识库中选取用于量化该类风险的权重,具体步骤包括:
测试结果产生并标准化后,根据测试结果对区块链平台进行安全评估,包括:
基于安全评估知识库,计算安全各类风险对应的危害权重,并根据权重,量化区块链平台安全性。
CN201811078962.3A 2018-09-17 2018-09-17 一种基于渗透性测试用例集的区块链架构安全评估方法及系统 Pending CN110912855A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811078962.3A CN110912855A (zh) 2018-09-17 2018-09-17 一种基于渗透性测试用例集的区块链架构安全评估方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811078962.3A CN110912855A (zh) 2018-09-17 2018-09-17 一种基于渗透性测试用例集的区块链架构安全评估方法及系统

Publications (1)

Publication Number Publication Date
CN110912855A true CN110912855A (zh) 2020-03-24

Family

ID=69813429

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811078962.3A Pending CN110912855A (zh) 2018-09-17 2018-09-17 一种基于渗透性测试用例集的区块链架构安全评估方法及系统

Country Status (1)

Country Link
CN (1) CN110912855A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111447112A (zh) * 2020-03-25 2020-07-24 中国银行股份有限公司 区块链网络监控系统、装置及方法
CN111611165A (zh) * 2020-05-22 2020-09-01 厦门理工学院 持续集成的自动化测试平台的实现与应用
CN112069067A (zh) * 2020-09-03 2020-12-11 腾讯科技(深圳)有限公司 基于区块链的数据测试方法、装置及计算机可读存储介质
CN113472739A (zh) * 2021-05-19 2021-10-01 中国科学院信息工程研究所 针对控制设备私有协议的脆弱性发现方法和装置
CN114024719A (zh) * 2021-10-13 2022-02-08 北京八分量信息科技有限公司 一种基于区块链技术的医疗信息安全管理系统
CN114448698A (zh) * 2022-01-28 2022-05-06 北京国信云服科技有限公司 一种联盟链dos攻击的测试方法和系统
CN115994363A (zh) * 2023-03-24 2023-04-21 北京邮电大学 基于多维度安全检测的区块链安全性评估方法及装置
CN117200978A (zh) * 2023-11-07 2023-12-08 中国移动紫金(江苏)创新研究院有限公司 可监管的区块链资产跨链流通方法及区块链安全测试系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102468985A (zh) * 2010-11-01 2012-05-23 北京神州绿盟信息安全科技股份有限公司 针对网络安全设备进行渗透测试的方法和系统
CN103268450A (zh) * 2013-06-06 2013-08-28 成都浩博依科技有限公司 基于测试的移动智能终端系统安全评估体系模型与评估方法
CN103746885A (zh) * 2014-01-28 2014-04-23 中国人民解放军信息安全测评认证中心 一种面向下一代防火墙的测试系统和测试方法
US20170041296A1 (en) * 2015-08-05 2017-02-09 Intralinks, Inc. Systems and methods of secure data exchange
AU2017100426A4 (en) * 2017-04-18 2017-06-15 McAlister, Gary MR New Islamic Banking Sharia Compliant Blockchain Innovation Patent that has no riba, usury or interest component for but not limited to savings, deposit, ethical loans, finance, stock share bond, Private Placement Programs, Digitally discover new mine deposits to franchise & new monetary system using blockchains POS proof of stake/secondary mining mine discovery process of assets and commodities for entities such as but not limited to Governments, treasuries, central banks, banks, financial institutions, monetary funds, judicial entities, profit-sharing blockchain franchise investments PSBFI's.
CN107360238A (zh) * 2017-07-25 2017-11-17 光载无限(北京)科技有限公司 基于区块链cpow共识算法的智能合约网关
CN107895118A (zh) * 2017-11-30 2018-04-10 北京北信源软件股份有限公司 一种基于渗透测试的定性与定量相结合的安全评估方法
CN108537453A (zh) * 2018-04-15 2018-09-14 肖鑫茹 区块链支付风险管理系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102468985A (zh) * 2010-11-01 2012-05-23 北京神州绿盟信息安全科技股份有限公司 针对网络安全设备进行渗透测试的方法和系统
CN103268450A (zh) * 2013-06-06 2013-08-28 成都浩博依科技有限公司 基于测试的移动智能终端系统安全评估体系模型与评估方法
CN103746885A (zh) * 2014-01-28 2014-04-23 中国人民解放军信息安全测评认证中心 一种面向下一代防火墙的测试系统和测试方法
US20170041296A1 (en) * 2015-08-05 2017-02-09 Intralinks, Inc. Systems and methods of secure data exchange
AU2017100426A4 (en) * 2017-04-18 2017-06-15 McAlister, Gary MR New Islamic Banking Sharia Compliant Blockchain Innovation Patent that has no riba, usury or interest component for but not limited to savings, deposit, ethical loans, finance, stock share bond, Private Placement Programs, Digitally discover new mine deposits to franchise & new monetary system using blockchains POS proof of stake/secondary mining mine discovery process of assets and commodities for entities such as but not limited to Governments, treasuries, central banks, banks, financial institutions, monetary funds, judicial entities, profit-sharing blockchain franchise investments PSBFI's.
CN107360238A (zh) * 2017-07-25 2017-11-17 光载无限(北京)科技有限公司 基于区块链cpow共识算法的智能合约网关
CN107895118A (zh) * 2017-11-30 2018-04-10 北京北信源软件股份有限公司 一种基于渗透测试的定性与定量相结合的安全评估方法
CN108537453A (zh) * 2018-04-15 2018-09-14 肖鑫茹 区块链支付风险管理系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
FANGFANG DAI, YUE SHI, NAN MENG, LIANG WEI, ZHIGUO YE: "From_Bitcoin_to_cybersecurity_A_comparative_study_of_blockchain_application_and_security_issues", 《THE 2017 4TH INTERNATIONAL CONFERENCE ON SYSTEMS AND INFORMATICS (ICSAI 2017)》 *
叶聪聪, 李国强, 蔡鸿明, 顾永跟: "区块链的安全检测模型", 《软件学报》 *
许子先,郑威: "基础网络设备安全风险分析", 《电信网技术》 *

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111447112A (zh) * 2020-03-25 2020-07-24 中国银行股份有限公司 区块链网络监控系统、装置及方法
CN111447112B (zh) * 2020-03-25 2021-11-26 中国银行股份有限公司 区块链网络监控系统、装置及方法
CN111611165A (zh) * 2020-05-22 2020-09-01 厦门理工学院 持续集成的自动化测试平台的实现与应用
CN111611165B (zh) * 2020-05-22 2023-04-07 厦门理工学院 持续集成的自动化测试平台的实现与应用
CN112069067A (zh) * 2020-09-03 2020-12-11 腾讯科技(深圳)有限公司 基于区块链的数据测试方法、装置及计算机可读存储介质
CN113472739A (zh) * 2021-05-19 2021-10-01 中国科学院信息工程研究所 针对控制设备私有协议的脆弱性发现方法和装置
CN114024719A (zh) * 2021-10-13 2022-02-08 北京八分量信息科技有限公司 一种基于区块链技术的医疗信息安全管理系统
CN114024719B (zh) * 2021-10-13 2024-04-12 北京八分量信息科技有限公司 一种基于区块链技术的医疗信息安全管理系统
CN114448698A (zh) * 2022-01-28 2022-05-06 北京国信云服科技有限公司 一种联盟链dos攻击的测试方法和系统
CN115994363A (zh) * 2023-03-24 2023-04-21 北京邮电大学 基于多维度安全检测的区块链安全性评估方法及装置
CN117200978A (zh) * 2023-11-07 2023-12-08 中国移动紫金(江苏)创新研究院有限公司 可监管的区块链资产跨链流通方法及区块链安全测试系统
CN117200978B (zh) * 2023-11-07 2024-02-13 中国移动紫金(江苏)创新研究院有限公司 区块链安全测试系统

Similar Documents

Publication Publication Date Title
CN110912855A (zh) 一种基于渗透性测试用例集的区块链架构安全评估方法及系统
US10268840B2 (en) Systems and methods of determining compromised identity information
CN108156131B (zh) Webshell检测方法、电子设备和计算机存储介质
US10599872B2 (en) Systems and methods of determining compromised identity information
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
JP6356749B2 (ja) 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体
Dalai et al. Neutralizing SQL injection attack using server side code modification in web applications
CN111611592A (zh) 一种大数据平台安全评估方法及装置
Keong Ng et al. VoterChoice: A ransomware detection honeypot with multiple voting framework
CN110807187B (zh) 一种基于区块链的网络市场违法信息存证方法及平台端
Djanali et al. SQL injection detection and prevention system with raspberry Pi honeypot cluster for trapping attacker
Houy et al. Security aspects of cryptocurrency wallets—a systematic literature review
Ahmed et al. CCF based system framework in federated learning against data poisoning attacks
CN109743303B (zh) 应用保护方法、装置、系统和存储介质
Abbas et al. A comprehensive approach to designing internet security taxonomy
Sheik et al. Considerations for secure mosip deployment
Nigam et al. PCP framework to expose malware in devices
Gaur et al. Prevention of Security Attacks in Cloud Computing
George et al. A proposed architecture for query anomaly detection and prevention against SQL injection attacks
Abbas et al. A state of the art security taxonomy of internet security: threats and countermeasures
CN116346488B (zh) 一种越权访问的检测方法及装置
Fu et al. An Improved Biometric Fuzzy Signature with Timestamp of Blockchain Technology for Electrical Equipment Maintenance
CN117290823B (zh) 一种app智能检测与安全防护方法、计算机设备及介质
KR102296234B1 (ko) 특징값 추출 기반의 바이너리 검증 시스템 및 방법
KR102614309B1 (ko) 엔드포인트 공격 탐지 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200324

WD01 Invention patent application deemed withdrawn after publication