soc的博客

逻辑错误（Logic Error）是编程中常见但难以发现的问题，它们通常不会导致程序崩溃或抛出异常，但却会使程序输出不符合预期的结果。逻辑错误源于程序设计的缺陷或算法的不正确实现，难以通过简单的测试发现，需要深入的调试和分析。错误类型定义发现时间影响语法错误程序编写时因不符合语法规则而造成的错误编译期不能通过编译，无法运行逻辑错误程序的算法存在逻辑问题，与正确步骤不符运行时或运行后程序可以运行，但结果不正确。

访问控制漏洞（Access Control Vulnerabilities）是指在软件系统中由于访问控制机制的不完善或错误配置导致的安全漏洞。这类漏洞允许未经授权的用户访问或操作他们本不应该接触到的数据和功能。访问控制漏洞可以发生在不同的层面，包括操作系统、网络设备、数据库以及应用程序等。

在编程和智能合约开发中，（未检查的外部呼叫）是指在调用外部合约或外部函数时，没有严格检查其返回值或处理可能发生的异常。这种做法可能会导致一系列的安全问题和潜在的漏洞。

重入攻击是一种针对智能合约的攻击手段，攻击者通过在合约执行过程中反复调用合约中的某个函数，利用合约状态更新的时机差，达到非法获取资金或操纵合约状态的目的.

缺乏输入验证（Lack of Input Validation）是指在软件开发过程中，未能对用户或其他系统提供的输入数据进行充分的检查和验证。SQL注入：攻击者可以通过提交恶意构造的SQL查询来操纵数据库，获取、修改或删除敏感信息。跨站脚本攻击（XSS）：当应用程序将未经验证的用户输入嵌入到网页中时，攻击者可以插入恶意脚本，窃取用户数据或劫持会话。缓冲区溢出：如果输入数据长度超过预期，可能会导致内存损坏，进而引发程序崩溃或执行任意代码。命令注入。

价格预言机操纵（Price Oracle Manipulation）是指恶意行为者通过各种手段操控区块链上的价格预言机，从而影响智能合约或其他去中心化应用（DApps）中的价格数据。这种操纵可能导致严重的经济损失，尤其是在去中心化金融（DeFi）领域。

闪电贷款攻击是一种利用去中心化金融（DeFi）平台中的闪电贷款机制进行的恶意行为。闪电贷款是一种特殊的贷款形式，允许用户在无需抵押的情况下借入资金，但必须在同一笔交易中归还贷款。如果未能在同一笔交易中归还贷款，整个交易将被回滚，不会对区块链状态产生影响。

在计算机科学中，整数上溢（Integer Overflow）和整数下溢（Integer Underflow）是指在执行算术运算时，数值超出了其数据类型所能表示的范围。这两种情况都会导致程序行为的不可预测性，甚至可能导致安全漏洞。

拒绝服务（Denial of Service，简称DoS）攻击是一种常见的网络安全威胁，其目的是通过各种手段使目标计算机或网络无法提供正常的服务或资源访问，从而使目标系统服务系统停止响应甚至崩溃。这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果3。攻击类型拒绝服务（DoS）分布式拒绝服务（DDoS）攻击方式一对一攻击多对一攻击（分布式）攻击源单个攻击源多个攻击源（僵尸网络）攻击效果相对有限显著且难以防御防御难度较低。

​开放Web应用程序安全项目（OWASP）发布了备受期待的2025年智能合约十大，这是一份全面的意识文档，旨在为Web3开发人员和安全团队提供知识，以应对智能合约中最关键的漏洞。​