智能合約安全分析和審計(jì)指南

定　價(jià)：￥79.00

作　者：	王藝卓等著
出版社：	電子工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購買這本書可以去

京東 (￥79.00)

ISBN：	9787121367847	出版時(shí)間：	2019-08-01	包裝：	平裝
開本：	16	頁數(shù)：	320	字?jǐn)?shù)：

內(nèi)容簡介

　　智能合約是近年來出現(xiàn)的一種旨在以信息化方式傳播、驗(yàn)證、執(zhí)行合同的計(jì)算機(jī)協(xié)議。盡管可編程的區(qū)塊鏈為去中心化的概念在生活中的應(yīng)用創(chuàng)造了無限可能，但區(qū)塊鏈項(xiàng)目的大規(guī)模落地與推廣仍面臨一系列挑戰(zhàn)?！吨悄芎霞s安全分析和審計(jì)指南》秉承由淺入深、理論與實(shí)踐相結(jié)合的思想，在闡述理論的同時(shí)，也對相關(guān)操作進(jìn)行了詳細(xì)說明。相信讀者在閱讀完本書后，會(huì)對以太坊智能合約有比較完整的了解，更重要的是，會(huì)對與以太坊智能合約相關(guān)的網(wǎng)絡(luò)安全問題有充分的認(rèn)識，并能夠在開發(fā)和審計(jì)過程中積極應(yīng)對常見的網(wǎng)絡(luò)安全問題。《智能合約安全分析和審計(jì)指南》適合智能合約開發(fā)人員、智能合約審計(jì)人員、網(wǎng)絡(luò)安全研究人員，以及對區(qū)塊鏈、智能合約感興趣的讀者閱讀。

作者簡介

　　王藝卓網(wǎng)絡(luò)ID Xrosheart，就讀于上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院?，F(xiàn)于Loccs實(shí)驗(yàn)室區(qū)塊鏈研究小組和看雪區(qū)塊鏈安全小組從事區(qū)塊鏈領(lǐng)域的研究，在以太坊智能合約安全方面有相關(guān)在投論文和在申請專利。陳佳林看雪論壇“iOS安全”版主roysue，看雪講師，在移動(dòng)安全領(lǐng)域有豐富的項(xiàng)目經(jīng)驗(yàn)。曾在2017看雪安全開發(fā)者峰會(huì)、GeekPwn發(fā)表主題演講，多次主持銀行、電信、行業(yè)部門的培訓(xùn)并擔(dān)任講師，在看雪、FreeBuf、安全客等安全社區(qū)發(fā)表多篇精華文章。目前就職于看雪科技，主要研究方向包括移動(dòng)安全、區(qū)塊鏈等。王鑫網(wǎng)絡(luò)ID dwfault，啟明星辰ADLab團(tuán)隊(duì)安全研究員。主要研究方向?yàn)閰^(qū)塊鏈、Web瀏覽器等軟件系統(tǒng)的漏洞分析、漏洞挖掘，并在上述領(lǐng)域獲得了若干CVE漏洞編號和廠商致謝。何芷珊網(wǎng)絡(luò)ID CoralineH，畢業(yè)于上海交通大學(xué)電子信息與電氣工程學(xué)院信息安全專業(yè)。主要研究方向包括區(qū)塊鏈、人工智能對抗、ICN等。

圖書目錄

第1章由淺入深理解區(qū)塊鏈
1.1 區(qū)塊鏈簡介 1
1.2 區(qū)塊鏈1.0 ——比特幣，一種點(diǎn)對點(diǎn)的現(xiàn)金支付系統(tǒng) 1
1.2.1 比特幣的產(chǎn)生 1
1.2.2 深入分析比特幣的工作機(jī)制 5
1.2.3 結(jié)合《比特幣白皮書》理解比特幣 9
1.2.4 比特幣的回顧與剖析 13
1.2.5 比特幣的不足 16
1.3 區(qū)塊鏈2.0 ——以太坊 18
1.3.1 以太坊的產(chǎn)生 18
1.3.2 深入理解以太坊 18
1.4 區(qū)塊鏈3.0 ——DApp 25
1.5 基于以太坊的智能合約入門 25
1.5.1 智能合約的結(jié)構(gòu) 26
1.5.2 EOS上的智能合約及其與以太坊的對比 27
第2章智能合約開發(fā)實(shí)戰(zhàn)
2.1 以太坊網(wǎng)絡(luò) 29
2.2 私有鏈的搭建 30
2.2.1 geth簡介 30
2.2.2 geth的安裝與配置 31
2.2.3 geth的操作及相關(guān)說明 33
2.2.4 以太坊中的賬戶與密鑰 39
2.2.5 查看以太坊網(wǎng)絡(luò)的狀態(tài) 40
2.3 Mist和Ethereum Wallet的安裝、配置與操作 42
2.3.1 下載與安裝 42
2.3.2 通過Ethereum Wallet連接本地私有庫 42
2.3.3 用Mist實(shí)現(xiàn)多重簽名 45
2.4 以太坊智能合約開發(fā)實(shí)戰(zhàn) 52
2.4.1 開發(fā)環(huán)境 52
2.4.2 編寫第一個(gè)智能合約 54
2.5 ERC-20 Token合約 58
2.5.1 Token合約概述 58
2.5.2 ERC-20 Token合約詳解 60
2.5.3 對ERC-20 Token合約的進(jìn)一步說明 61
2.6 本章小結(jié) 63
第3章智能合約語法實(shí)戰(zhàn)
3.1 造就骨架——建立合約框架 64
3.2 初添血肉——添加狀態(tài)變量 66
3.2.1 數(shù)據(jù)類型簡介 66
3.2.2 添加uint類型的變量 67
3.2.3 添加結(jié)構(gòu)體 67
3.2.4 添加數(shù)組 68
3.3 再添經(jīng)脈——添加函數(shù) 70
3.3.1 添加一個(gè)簡單的函數(shù) 70
3.3.2 添加一個(gè)復(fù)雜的函數(shù) 72
3.3.3 特別的函數(shù)——回退函數(shù) 75
3.4 與外界交互——添加事件 80
3.5 大腦的溝通——多用戶拓展 82
3.5.1 神經(jīng)的連接——映射和地址 82
3.5.2 神經(jīng)的傳輸——msg.sender 85
3.5.3 神經(jīng)興奮的判別——require()方法 87
3.5.4 生命的傳承——Inheritance 87
3.5.5 血液里的本能——“獵食”和“繁殖” 90
3.5.6 DNA的融合 91
3.5.7 各司其職的隱私——關(guān)于函數(shù)可見性的更多內(nèi)容 92
3.5.8 同化作用——合約交互 93
3.5.9 同化作用的結(jié)果——獲得獎(jiǎng)勵(lì) 98
3.6 高級Solidity理論 100
3.6.1 外部依賴關(guān)系 100
3.6.2 權(quán)限的產(chǎn)生——Ownable Contracts 101
3.6.3 權(quán)限的確認(rèn)——函數(shù)修飾符onlyOwner 105
3.6.4 運(yùn)轉(zhuǎn)的動(dòng)力——gas 107
3.7 Truffle的介紹與安裝 108
3.8 創(chuàng)建、部署、使用Token合約 110
3.8.1 Truffle的box和OpenZeppelin 110
3.8.2 安裝tutorialtoken box和OpenZeppelin 111
3.8.3 創(chuàng)建TutorialToken合約 112
3.8.4 合約的編譯與部署 114
3.8.5 合約操作與實(shí)踐 116
3.9 創(chuàng)建、部署、使用ICO合約 121
3.9.1 ICO簡介 121
3.9.2 創(chuàng)建ICO合約 122
3.9.3 ICO合約的編譯與部署 125
3.9.4 ICO合約的操作實(shí)踐 130
3.10 本章小結(jié) 131
第4章智能合約常見漏洞
4.1 智能合約審計(jì)指南 132
4.1.1 智能合約審計(jì)概述 132
4.1.2 智能合約審計(jì)報(bào)告的結(jié)構(gòu) 132
4.2 整型溢出漏洞 133
4.2.1 漏洞概述 133
4.2.2 代碼片段 133
4.2.3 漏洞分析與調(diào)試 134
4.2.4 相關(guān)案例 139
4.2.5 規(guī)避整型溢出的神器——SafeMath庫 140
4.3 重入漏洞 141
4.3.1 漏洞概述 141
4.3.2 代碼片段 148
4.3.3 漏洞分析、調(diào)試與防范 149
4.3.4 相關(guān)案例 155
4.4 訪問控制缺陷 155
4.4.1 漏洞概述 155
4.4.2 代碼片段 156
4.4.3 漏洞分析、調(diào)試與防范 157
4.4.4 相關(guān)案例 162
4.5 特權(quán)功能暴露 162
4.5.1 漏洞概述 162
4.5.2 代碼片段 163
4.5.3 漏洞分析、調(diào)試與防范 163
4.5.4 相關(guān)案例 170
4.6 跨合約調(diào)用漏洞 170
4.6.1 漏洞概述 170
4.6.2 代碼片段 172
4.6.3 漏洞分析、調(diào)試與防范 173
4.6.4 相關(guān)案例 176
4.7 拒絕服務(wù)漏洞 177
4.7.1 漏洞概述 177
4.7.2 代碼片段 177
4.7.3 漏洞分析、調(diào)試與防范 178
4.7.4 相關(guān)案例 185
4.8 礦工特權(quán)隱患 185
4.8.1 漏洞概述 185
4.8.2 代碼片段 185
4.8.3 漏洞分析與防范 186
4.8.4 相關(guān)案例 187
4.9 短地址攻擊 187
4.9.1 漏洞概述 187
4.9.2 代碼片段 189
4.9.3 漏洞分析、調(diào)試與防范 190
4.10 tx.origin漏洞 195
4.10.1 漏洞概述 195
4.10.2 代碼片段 195
4.10.3 漏洞分析、調(diào)試與防范 195
4.11 本章小結(jié) 199
第5章智能合約蜜罐
5.1 智能合約蜜罐概述 201
5.2 WhaleGiveaway1 201
5.2.1 蜜罐分析 201
5.2.2 代碼復(fù)現(xiàn) 203
5.3 Gift_1_ETH 207
5.3.1 蜜罐分析 207
5.3.2 代碼復(fù)現(xiàn) 210
5.4 MultiplicatorX3 213
5.4.1 蜜罐分析 213
5.4.2 代碼復(fù)現(xiàn) 215
5.5 TestBank 217
5.5.1 蜜罐分析 217
5.5.2 代碼復(fù)現(xiàn) 221
5.6 CryptoRoulette 223
5.6.1 蜜罐分析 223
5.6.2 代碼復(fù)現(xiàn) 225
5.7 OpenAddressLottery 226
5.7.1 蜜罐分析 226
5.7.2 代碼復(fù)現(xiàn) 229
5.8 KingOfTheHill 231
5.8.1 蜜罐分析 231
5.8.2 代碼復(fù)現(xiàn) 233
5.9 RACEFORETH 235
5.10 For_Test 237
5.10.1 蜜罐分析 237
5.10.2 代碼復(fù)現(xiàn) 239
5.11 DividendDistributor 240
5.11.1 蜜罐分析 240
5.11.2 代碼復(fù)現(xiàn) 244
5.12 與智能合約蜜罐相關(guān)的安全建議 246
5.13 本章小結(jié) 246
第6章常見智能合約分析與審計(jì)工具
6.1 智能合約分析工具——Solgraph 247
6.1.1 Solgraph簡介 247
6.1.2 Solgraph的安裝與使用 248
6.2 智能合約審計(jì)工具——mythril 250
6.2.1 mythril的安裝 251
6.2.2 mythril的使用與功能說明 252
6.3 智能合約審計(jì)平臺(tái)——SECURIFY 257
6.3.1 SECURIFY概述 257
6.3.2 SECURIFY系統(tǒng)探究 259
6.3.3 SECURIFY的使用 261
第7章智能合約審計(jì)實(shí)戰(zhàn)
7.1 智能合約審計(jì)清單 264
7.2 博彩游戲合約審計(jì) 265
7.2.1 合約代碼與合約功能瀏覽 265
7.2.2 審計(jì)報(bào)告 268
7.3 CryptoKitties合約審計(jì) 274
7.4 本章小結(jié) 277
第8章智能合約字節(jié)碼解構(gòu)
8.1 打開引擎蓋——智能合約下的字節(jié)碼 278
8.2 解構(gòu)第一步——creation 282
8.3 解構(gòu)第二步——runtime 291
8.3.1 函數(shù)選擇器 292
8.3.2 函數(shù)包裝器 295
8.3.3 函數(shù)主體 301
8.3.4 元數(shù)據(jù)散列 305
8.4 本章小結(jié) 309
參考文獻(xiàn) 310