2.1　數字貨幣交易平臺及安全

數字貨幣交易平臺即數字貨幣交易所，是區塊鏈行業的重要組成部分，為不同數字貨幣之間，數字貨幣與法定貨幣之間的交易提供服務，同時也是數字貨幣定價和流通的主要場所。

與傳統交易所相比，數字貨幣交易平臺除了匹配交易外，還承擔著做市商和投資銀行的角色。交易所的做市商角色可以增加市場流動性，交易所從中獲得交易差價。交易所投資銀行角色的作用是提供數字貨幣的發行和承銷等服務，交易所從中收取費用，或者以交換社區投票的形式來收取保證金。

目前，多數數字貨幣交易所都是中心化的，一般可分為幣幣交易所、期貨交易所、法幣交易所等。

·幣幣交易所：幣幣交易所允許用戶將現有的數字貨幣轉換為其他數字貨幣，整個交易過程不涉及任何法幣。由于監管相對寬松，因此主流數字貨幣交易所已經開啟了這一功能。

·期貨交易所：期貨交易所風險很高，允許進行杠桿交易，并受到當地法規的嚴格監管。期貨交易所門檻高，受眾相對較少。

·法幣交易所：法幣交易所允許用戶將法幣轉換為數字貨幣。由于涉及當地的銀行監管規定，法幣交易所只能交易有限數量的法幣。其中，法幣交易所包含兩種類型：一種是使用信用卡、銀行轉賬或其他移動支付方式從交易所直接購買數字貨幣，稱為場內交易；另一種是用戶通過交易所與其他用戶交易來進行數字貨幣與法幣的轉換，類似于淘寶或咸魚的交易機制，稱為場外交易（OTC）。

對數字交易平臺進行安全審計，與傳統的滲透測試方式并無根本性的不同，但是數字交易平臺具有金融屬性，所以本身安全性較高，在數字貨幣交易平臺中很少存在傳統網站常見的SQL注入、跨站腳本攻擊（XSS）、客戶端請求偽造（CSRF）、文件上傳等漏洞。因此，對于數字貨幣交易平臺進行滲透的方式更接近“紅隊”的操作，不僅要測試平臺本身的安全性，而且要將測試范圍擴展到平臺的運營、維護和開發人員。結合相關的漏洞，我們總結出了一些測試模塊，或者說要重點關注的測試點，如下所示：

·信息收集

·社會工程

·業務邏輯

·輸入輸出

·安全配置

·信息泄露

·接口安全

·用戶認證安全

·App安全

下面我們將對每個滲透測試模塊進行講解，包括詳細的測試列表和案例分析。在附錄B中，我們將數字貨幣交易平臺的測試列表進行了整合，以便讀者在檢查自己的平臺時速查。