昨日EOS inline攻擊吞噬RAM漏洞覆盤
昨日EOS緊急更新了一個偷竊RAM漏洞的補丁,今天和網友遠航討論了該漏洞,遠航提供了昨日官網修復該漏洞的patch,於是又有了想復現漏洞的衝動,最後驗證並在測試網路還原了該漏洞。
漏洞詳情
該漏洞是因為EOSIO系統對於合約inline呼叫合約內的其他函式不會進行許可權檢測,從而惡意合約可以使用任何其他賬號的許可權呼叫該合約的其他方法。比如下圖:
漏洞復現操作如下
漏洞解決
合約內inline呼叫也需要eosio.code授權
漏洞復現原始碼
https://github.com/itleaks/eos-contract/tree/master/stealram2-exp
---------------------
作者:ITleaks
來源:CSDN
原文:https://blog.csdn.net/ITleaks/article/details/85008008
版權宣告:本文為博主原創文章,轉載請附上博文連結!
相關推薦
昨日EOS inline攻擊吞噬RAM漏洞覆盤
昨日EOS緊急更新了一個偷竊RAM漏洞的補丁,今天和網友遠航討論了該漏洞,遠航提供了昨日官網修復該漏洞的patch,於是又有了想復現漏洞的衝動,最後驗證並在測試網路還原了該漏洞。 漏洞詳情 該漏洞是因為EOSIO
還原 EOS“彩虹”攻擊始末,看小疏忽如何釀成大災難
最近,EOS中文治理社群EMAC,已經接到六起報告EOS丟失的事件,丟失的EOS數量從幾十個到幾十萬個不等,直接造成上千萬數字資產損失,而資產被盜的原因大多是開通賬戶註冊過程中常見的小問題:比如,助記詞選擇,賬戶有效性核實等。事實上,這些問題如果持幣者和開發者都具備一定安全認知的話,是可以被有效避免
EOS開發中記憶體RAM如何買賣
對於EOS RAM的來說什麼最重要呢?我們經常在每天的數字貨幣和區塊鏈相關新聞中看到EOS旁邊的RAM這個詞,但是無論如何我們應該關注它的價格,為什麼要關注它的價格,即使是那些只想深入瞭解智慧合約開發的人也需要這樣嗎?Eos中基本上有三種類型的資源:頻寬(Network),計算和計算積壓(CPU)和狀態儲存(
慢速攻擊不算漏洞?
慢速攻擊可以讓沒有防護的伺服器或者網路裝置癱瘓 能說不算漏洞? 我就總結一下自己是怎麼復現的吧 首先可以使用掃描器來掃出這個漏洞 但是你寫報告裡面別人肯定是不能信服的啊 我們就來用工具來驗證一下吧 第一種方法就是使用kali自帶的slowhttptest試試
ASP.NET(C#)後臺安全登陸程式碼(防XSS攻擊\萬能密碼漏洞)
string ispostback = Context.Request["ispostbask"]; string k8user = this.txtUser.Text.Trim(); string k8pwd = this.txtPwd.T
eos INLINE Action 和 eosio.code 使用說明
1、inline action簡單來說就是action呼叫另外一個action, 具體來說就是一個智慧合約的程式碼呼叫另外一個智慧合約的函式。現在的eos(好像是自從dawn 4.0之後),只要在合約中呼叫另一個合約的action,不管以什麼程式碼格式呼叫,都自動是inline action。
SVM 覆盤總結
1. 硬間隔最大化: 怎麼得到的?自己推導,可參考下圖推: 上述問題如何求解? 引入Lagrange function: 一系列推導之後,自己推導: 原始問題: 對偶優化問題: 對偶問題求最最優: 怎麼求的SMO演算法如何實現,先等著?
覆盤2018與規劃2019
前言 一轉眼又快到年底了,不知道各位的年計劃完成得怎麼樣了,對馬上到來的2019又有什麼新的期許。本來打算下個月寫這篇文章,但最近陸陸續續又增加了新課,日常除了上課看書就是接踵而至的考試,大概沒什麼時間,現在就覆盤一下2018期待2019吧。今年對我而言,是意義非凡的一
【業界】 《王者榮耀》技術總監覆盤回爐歷程
2015年8月到10月的兩個月間,《王者榮耀》從資料不達標搖身一變成了接下來兩年國內最大的爆款 《王者榮耀》技術總監覆盤回爐歷程:沒跨過這三座大山,就是另一款MOBA霸佔市場了 如今已經大獲市場成功的《王者榮耀》一直是業內各方關
覆盤王者榮耀手遊開發全過程,Unity引擎使用幀同步放棄狀態同步
https://blog.csdn.net/anypkv/article/details/78480877 http://king.shandian.biz/88.html 如今已經大獲市場成功的《王者榮耀》一直是業內各方關注的物件,而我們也知道這款產品在成為國民級遊戲之前
js 遍歷和擷取字串--工作覆盤
今天的工作任務中,主要使用的js的遍歷以及擷取字串 1、去掉優惠券的末尾數: parseFloat(12.00).toFixed(0); 2、擷取字串,有常用的三個方法,slice(0,12),substr(0,12),subsub(0,5) 3、 函式:split()
專案覆盤思路:做好專案覆盤只需掌握這四步(附案例)
摘自公號:慧翔天地PMP,可向小助手領取專案管理全部書籍和文件模板。 星期天下午收到老闆一條參加專案覆盤的邀請,老闆這樣的提拔,義不容辭放下手中的文章來參加覆盤,結果各位老師用實際專案將覆盤講了四個小時,介紹了覆盤的流程及操作方法,很受益接下來跟大家進行分享。 覆盤課程 覆盤來源於圍棋,
2135億背後 ,揭祕阿里技術人的覆盤實踐
4秒交易額破億,50秒破10億,2分05秒破百億,26分03秒突破500億,1小時47分破1000億,8小時8分52秒破2016年當日全天交易額……支付寶所有資料同比去年再創新高。交易峰值49.1萬/秒,想比於09年增長了1227倍,同時誕生的還有資料庫處理峰值,4200萬次/秒。
網易雲覆盤:雲端計算前端這一年(AngularJS粉慎入)
此文已由作者趙雨森授權網易雲社群釋出。 歡迎訪問網易雲社群,瞭解更多網易技術產品運營經驗。 2017年的前端已然沒有劇烈的變動,但發展勢頭仍然不減。語言、標準、框架和庫逐漸穩定和完善,各團隊再也不用花大把精力放在造輪子上,而更多的是去積累所需的元件庫、開發合適的工具以及整合自己的解決方案。 我們雲端計算
ofo怎麼了?——全面覆盤ofo營銷之路
儘管創始人戴威無數次否認公司存在危機,但明眼人都知道ofo的危險處境,在網際網路寒冬的2018年底,戴威終於在11月的員工大會中鬆口,“ofo不會倒閉,其他都有可能”。 北大學生會主席出身的戴威,讓ofo的一系列動作充滿了學生慣有的烏托邦般的草莽色彩,推廣和策略上的高舉高打,讓ofo小黃車快速崛
2018年面試覆盤(題目)
在面試完後,記錄了面試官問的問題有價值問題,沒有配答案,僅供參考 《中興軟創》 1、參與過什麼設計? 2、設計模式? 3、發郵件和發簡訊做到和移植可擴充。 4、圖標表外掛(FusionCharts)0.5橫座標怎麼實現? 5、應用場景:有15個小學生,在上午9點整,進入公園。這個入園操作
Java阿里面試:一面+二面+三面+HR四面,我的覆盤經驗總結!
阿里中介軟體團隊一面: 第一步先自我介紹? 介紹自己的專案經驗和個人的擅長點,面試官主要考察你的表達能力和語言精簡能力。 第二步:專案中做了什麼,難點在哪裡? 主要是想了解參與過技術難度最大的專案難點,技術難點在哪裡,你是怎麼來解決的,考察專案經驗(技術難度)。 第三步:開始切入
讀《覆盤-對過去的事情做思維演練—陳中(著)》感知
前些天看了一些文章,文章中推薦了一些書,其中有一本《覆盤-對過去的事情做思維演練》。對於我這中不善於覆盤、不會總結的人而言。學習就像吃飯,基本上都是不記得三天前吃了什麼。 我相信很多人都很努力,一路向前,一直很注重前進的路,但是從來沒有回過頭看看自己曾經走的路。有些知識當時掌握了,但是並
開會=浪費時間?阿里技術團隊這樣開專案覆盤會
阿里妹導讀:覆盤是專案結束後必不可少的階段,好的覆盤會議能夠有效地促進團隊成長。今天,阿里專案管理專家鹿迦以自身的經驗,為大家分享如何做好一個專案的覆盤。這篇文章分成兩個部分,第一部分簡單闡述對這種回顧會議的理解,認識會議的真正價值;第二部分是分享個人操作的團隊回顧會議流程。 在阿里天貓新零售的天地會專案中
螢幕畫筆工具Pointofix,期貨/股票覆盤分析畫線好工具
工具介紹: Pointofix可以將K線圖表定格在螢幕某一個畫面上,然後可以使用工具趨勢線、圖形,放大某個細節等,是一款很好的覆盤分析畫線工具。Pointofix使用功能: 1.高亮螢幕:手繪筆; 2.直線,箭頭和雙箭頭(按住Shift鍵,鎖定以45°遞增可選); 3.長方形,正方形