Гайд по автоматическому аудиту смарт-контрактов. Часть 2: Slither

Все блоги / Про интернет 31 января 2019 597

Анализатор: Slither
Описание: Open-source static analysis framework for Solidity
githib: https://github.com/trailofbits/slither

Это статический анализатор кода, написанный на python. Он умеет следить за переменными, вызовами, и детектирует вот такой список уязвимостей: https://github.com/trailofbits/slither#detectors. У каждой уязвимости есть ссылка с описанием, и, если вы новичок в Solidity, вам имеет смысл ознакомиться со всеми.

Slither может работать, как модуль python и предоставлять программисту интерфес, для аудита по собственному плану. Простой и показательный пример того, что умеет делать slither можно увидеть тут: https://github.com/trailofbits/slither/blob/master/examples/scripts/functions_writing.py

Мы еще вернемся к сценариям анализа в конце статьи, а пока запустим Slither:

Читать дальше →

Источник: Хабрахабр

Оцените публикацию

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья

следующая статья

Похожие публикации

WSJ: Игра Slither.io приносит своему создателю $100 тысяч в день, пока он пытается решить её технические проблемы

Создатель популярной многопользовательской онлайн-игры Slither.io, 32-летний Стивен Хаус (Steven House) из США, стал получать от неё $100 тысяч выручки в день. При этом он до сих пор борется с проблемой стабильного подключения большого числа игроков одновременно, пишет The Wall Street Journal.

подробнее »

23 июня 2016

GitHub запустил статический анализ кода на уязвимости

После обширного тестирования GitHub открыл в открытом доступе функцию сканирования кода на уязвимости. Любой желающий может запустить сканер на собственном репозитории и найти уязвимости до того, как они пойдут в продакшн. Сканер действует для репозиториев на C, C++, C#, JavaScript, TypeScript,

подробнее »

1 октября 2020

Гайд по автоматическому аудиту смарт-контрактов. Часть 1: Подготовка к аудиту

Введение Наша компания занимается аудитом безопасности смарт-контрактов, и вопрос использования автоматических средств стоит очень остро. Насколько сильно они могут помочь в определении подозрительных мест, какие стоит их использовать, что они умеют делать и какова специфика работы в этой области?

подробнее »

31 января 2019

Статический анализатор кода PVS-Studio как защита от уязвимостей нулевого дня

Угроза нулевого дня (англ. zero day) – это термин, обозначающий уязвимости, допущенные при разработке, которые еще не были обнаружены. Такие уязвимости могут использоваться злоумышленниками, что в итоге затронет и репутацию компании. Перед разработчиками стоит задача максимально сократить

подробнее »

28 ноября 2019

Автоматизация действий атакующего, используя metasploit и Python

Известно, что метасплойт написан на Ruby и не поддерживает скрипты, написанные на Python. Несмотря на это у метасплойта есть двусторонний RPC–интерфейс, при помощи которого можно запускать задачи. Есть две библиотеки, позволяющие взаимодействовать с remote procedure call (RPC) metasploit — это

подробнее »

17 апреля 2018

Nginx опубликовал обновление безопасности против DoS-уязвимостей в HTTP/2

Во вторник Nginx опубликовал пресс-релиз о важнейшем обновлении, в которое вошли патчи безопасности, закрывающие Dos-уязвимости в протоколе HTTP/2. Напомним, что эти уязвимости Netflix обнаружил еще в мае, с деталями можно ознакомиться на GitHub-странице компании. Читать дальше →

подробнее »

15 августа 2019