2.1　数字货币交易平台及安全

数字货币交易平台即数字货币交易所，是区块链行业的重要组成部分，为不同数字货币之间，数字货币与法定货币之间的交易提供服务，同时也是数字货币定价和流通的主要场所。

与传统交易所相比，数字货币交易平台除了匹配交易外，还承担着做市商和投资银行的角色。交易所的做市商角色可以增加市场流动性，交易所从中获得交易差价。交易所投资银行角色的作用是提供数字货币的发行和承销等服务，交易所从中收取费用，或者以交换社区投票的形式来收取保证金。

目前，多数数字货币交易所都是中心化的，一般可分为币币交易所、期货交易所、法币交易所等。

·币币交易所：币币交易所允许用户将现有的数字货币转换为其他数字货币，整个交易过程不涉及任何法币。由于监管相对宽松，因此主流数字货币交易所已经开启了这一功能。

·期货交易所：期货交易所风险很高，允许进行杠杆交易，并受到当地法规的严格监管。期货交易所门槛高，受众相对较少。

·法币交易所：法币交易所允许用户将法币转换为数字货币。由于涉及当地的银行监管规定，法币交易所只能交易有限数量的法币。其中，法币交易所包含两种类型：一种是使用信用卡、银行转账或其他移动支付方式从交易所直接购买数字货币，称为场内交易；另一种是用户通过交易所与其他用户交易来进行数字货币与法币的转换，类似于淘宝或咸鱼的交易机制，称为场外交易（OTC）。

对数字交易平台进行安全审计，与传统的渗透测试方式并无根本性的不同，但是数字交易平台具有金融属性，所以本身安全性较高，在数字货币交易平台中很少存在传统网站常见的SQL注入、跨站脚本攻击（XSS）、客户端请求伪造（CSRF）、文件上传等漏洞。因此，对于数字货币交易平台进行渗透的方式更接近“红队”的操作，不仅要测试平台本身的安全性，而且要将测试范围扩展到平台的运营、维护和开发人员。结合相关的漏洞，我们总结出了一些测试模块，或者说要重点关注的测试点，如下所示：

·信息收集

·社会工程

·业务逻辑

·输入输出

·安全配置

·信息泄露

·接口安全

·用户认证安全

·App安全

下面我们将对每个渗透测试模块进行讲解，包括详细的测试列表和案例分析。在附录B中，我们将数字货币交易平台的测试列表进行了整合，以便读者在检查自己的平台时速查。