渗透以太坊dApp

以太坊去中心化应用程序(dApp)是与其背后的共识协议进行交互的应用程序。 在我们的案例中,我们研究了dApp的最常见用例之一:与一个或多个智能合约进行交互的常规Web应用程序。 当您通过网络(扩展名为MetaMask)访问dApp时,您可以使用私钥与站点进行交互,并通过其Web界面签署交易。 这是dApp的示例,我在其中使用其Web界面和包含我的以太坊钱包的Chrome扩展程序来购买Cryptokitty: 当您的浏览器与常规Web应用程序交互时,该Web应用程序可能会与其他内部服务器,数据库或云对话。 最后,交互很简单: 在dApp中,大多数交互是相同的。 但是还有第三个要素:智能合约,它是公开可用的。 与Web应用程序的某些交互将导致对以太坊区块链上一个或多个智能合约的读取或写入 。 多管齐下 dApp的存在部分是为了使最终用户更轻松地与其智能合约进行交互。 但是没有规定说我们必须通过dApp的Web界面与dApp的智能合约进行交互。 由于智能合约是可公开访问的,因此我们可以直接与它们进行交互,而不受Web服务器逻辑的限制,该逻辑可能会限制我们可以发布的交易。 到目前为止,我们对渗透测试有两种方法: 一种标准的Web应用程序渗透测试,它利用身份验证,访问控制和会话管理。 智能合同审核。 换句话说,我们检查Web应用程序…