區(qū)塊鏈技術(shù)正在改變?nèi)藗兊墓ぷ骱蜕罘绞?。憑借無與倫比的潛力，區(qū)塊鏈?zhǔn)谷藗兡軌蚋玫乜刂坪凸芾斫鹑诮灰?、醫(yī)療保健和許多其他活動，這些活動需要更多的隱私和透明度。以下幫助人們了解什么是區(qū)塊鏈滲透測試。

[[322076]]

2014年，全球規(guī)模最大的比特幣交易所價值5億美元的比特幣被盜，此外大約有6,000萬美元的以太幣通過基于以太坊的分散式自治組織(DAO)重定向至匿名帳戶。2017年，全球第二大比特幣攻擊事件發(fā)生在比特幣在線交易平臺Bitfinex，造成將近7200萬美元的損失。

區(qū)塊鏈技術(shù)正在改變?nèi)藗兊墓ぷ骱蜕罘绞?。也為?shù)字業(yè)務(wù)生態(tài)系統(tǒng)帶來了新的安全性，并提高了效率。

了解區(qū)塊鏈

在過去的幾年，區(qū)塊鏈為數(shù)字生態(tài)系統(tǒng)帶來了翻天覆地的變化。人們需要了解的是，它實(shí)際上不僅與加密貨幣有關(guān)，而且還是一個不可變記錄的時間戳鏈，也就是采用加密方式鏈接的區(qū)塊。

區(qū)塊鏈?zhǔn)且粋€記錄任何數(shù)字資產(chǎn)事務(wù)的開放式分類賬。這些數(shù)字資產(chǎn)可以通過智能合約(例如ERC令牌)或區(qū)塊鏈網(wǎng)絡(luò)的核心加密貨幣(例如比特幣或以太坊)進(jìn)行管理。

區(qū)塊鏈網(wǎng)絡(luò)始于“創(chuàng)世紀(jì)”(genesis)區(qū)塊的配置。顧名思義，“創(chuàng)世紀(jì)”是區(qū)塊鏈的第一個區(qū)塊，其先前的區(qū)塊哈希值為0x000。然后根據(jù)一致性和配置(例如區(qū)塊時間、區(qū)塊大小等)，將更多區(qū)塊添加到鏈中。

區(qū)塊(包括其中的事務(wù))將得到驗證并添加到鏈中，以后無法進(jìn)行修改。區(qū)塊鏈中的任何修改都會導(dǎo)致創(chuàng)建新事務(wù)，從而使其具有可追溯性。這是區(qū)塊鏈網(wǎng)絡(luò)的基本功能。

什么是區(qū)塊鏈滲透測試?

滲透測試就是測試人員以潛在黑客的心態(tài)工作，有效地利用編碼錯誤進(jìn)行測試。簡單地說，測試人員自己充當(dāng)黑客，試圖闖入網(wǎng)絡(luò)檢測和報告安全漏洞。滲透測試人員所花費(fèi)的總時間取決于網(wǎng)絡(luò)大小及其體系結(jié)構(gòu)的復(fù)雜性。規(guī)模較小的測試很快就能處理，而較大的測試可能需要長達(dá)數(shù)周的時間。需要區(qū)塊鏈滲透測試作為解決方案的一些挑戰(zhàn)包括：

• 缺乏測試工具
• 知識不足
• 不適當(dāng)?shù)牟呗?/li>
• 不可撤銷的事務(wù)
• 性能和負(fù)載測試

有效的區(qū)塊鏈測試可幫助組織通過網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全地構(gòu)建和利用該技術(shù)。其測試過程包括核心測試策略和服務(wù)，例如云計算測試服務(wù)、功能測試、API測試、集成測試、安全測試和性能測試。它還包括特定于區(qū)塊鏈的測試策略，例如塊測試、智能合約測試和對等/節(jié)點(diǎn)測試。

(1) 功能測試–這個測試評估案例方案和業(yè)務(wù)方案。測試人員考慮的組件包括：

• 區(qū)塊鏈的規(guī)模–最基本的事務(wù)由包含事務(wù)信息本身的數(shù)據(jù)構(gòu)成，這些數(shù)據(jù)占用空間。盡管具有爭議，但目前每個塊包含1MB數(shù)據(jù)。這種規(guī)模需要定期檢查和測試。而且，鏈的規(guī)模沒有限制，并且隨著時間的推移不斷增加。測試人員需要測試區(qū)塊鏈的功能和性能，以便對其進(jìn)行檢查。
• 塊的添加–在對每個事物進(jìn)行身份驗證之后，測試人員將驗證這些塊并將其添加到區(qū)塊鏈中。如上所述，區(qū)塊鏈無法更改，因此在添加之前對塊進(jìn)行驗證使其成為一個極為關(guān)鍵的過程。
• 數(shù)據(jù)傳輸–區(qū)塊鏈涉及點(diǎn)對點(diǎn)體系結(jié)構(gòu)，這使得測試人員必須驗證數(shù)據(jù)的加密和解密，并使其完美無缺。其目的是確保數(shù)據(jù)丟失最小化或不丟失。

(2) API測試– API測試就是要檢查應(yīng)用程序與區(qū)塊鏈生態(tài)系統(tǒng)之間的交互。這樣做是為了驗證API發(fā)送的請求和響應(yīng)，并確保它們的格式和執(zhí)行正確。

(3) 集成測試–由于區(qū)塊鏈測試在不同環(huán)境和并行系統(tǒng)中的部署，集成測試的需求上升。測試是為了確保不同的組件能夠無縫地相互通信。測試團(tuán)隊測試API以確保這些API可以在驗證階段使用。

(4) 性能測試–區(qū)塊鏈中的性能測試可確定潛在的瓶頸，并檢查應(yīng)用程序是否已準(zhǔn)備好投入生產(chǎn)。確定性能的測試自動化是檢查區(qū)塊鏈整體可擴(kuò)展性的關(guān)鍵。

(5) 安全測試–目的是確保完全保護(hù)區(qū)塊鏈應(yīng)用程序免受病毒和惡意程序等攻擊。區(qū)塊鏈的安全測試需要非常徹底和響應(yīng)迅速。正在進(jìn)行的事務(wù)無法停止，因此測試過程應(yīng)足夠有效以發(fā)現(xiàn)所有潛在威脅。有效的安全測試還有助于改善公司在消費(fèi)者面臨風(fēng)險之前撤銷有缺陷的商品的流程，這有助于實(shí)現(xiàn)數(shù)字質(zhì)量保證。

以下是數(shù)字生態(tài)系統(tǒng)中不同行業(yè)利用的一些功能：

• 醫(yī)療保健–醫(yī)療驗證和記錄維護(hù)、索賠處理
• 零售–減輕欺詐行為，保護(hù)消費(fèi)者數(shù)據(jù)的隱私
• 通信–網(wǎng)絡(luò)訪問和控制，保護(hù)移動錢包
• 媒體-反盜版、支付方式、數(shù)字傳輸
• 金融–跨渠道付款，商業(yè)交易的安全性
• 確保智能合約
• 強(qiáng)大的數(shù)字保證解決方案

這是一個自動執(zhí)行的合同，其中包含有關(guān)各方之間的協(xié)議條款，以代碼行的形式編寫。然后將包含代碼和協(xié)議條款的這些合同分發(fā)到分散的區(qū)塊鏈網(wǎng)絡(luò)上。智能合約允許匿名方之間進(jìn)行信任交易，而無需使用中央系統(tǒng)。

區(qū)塊鏈滲透測試工具

同樣重要的是，測試人員要選擇合適的區(qū)塊鏈滲透測試工具，以減少漏洞，并提供最佳質(zhì)量的結(jié)果。在此建議使用以下工具測試基于區(qū)塊鏈的應(yīng)用程序：

(1) Truffle框架–Truffle是最受歡迎的開發(fā)環(huán)境之一，也是區(qū)塊鏈測試的測試框架。

Truffle為智能合約提供簡單的生命周期管理，包括支持庫鏈接、自定義部署和復(fù)雜的基于區(qū)塊鏈的應(yīng)用程序。Truffle還提供了自動契約測試，開發(fā)者可以使用JS和Solidity編寫自己的自動測試代碼。它的一些顯著特點(diǎn)是：

• 在開發(fā)過程中立即重建資產(chǎn);
• 可配置的構(gòu)建管道，完全支持自定義構(gòu)建過程;
• 可編寫腳本的部署和遷移框架;
• 與交互式控制臺的直接合同通信。

(2) Embark–Embark提供了一種簡單的聲明性方法來定義要部署的智能合約及其相關(guān)性。

(3) 以太坊測試儀–為各種區(qū)塊鏈測試需求提供可管理的API支持。它旨在改善用戶和開發(fā)人員的體驗，并幫助他們輕松管理和執(zhí)行所選工具。

(4) Populus –這里的測試由python測試框架提供支持，并為測試智能合約提供了有用的實(shí)用工具。

結(jié)論

區(qū)塊鏈?zhǔn)撬鞋F(xiàn)代安全交易的領(lǐng)先技術(shù)。由于區(qū)塊鏈測試的不斷發(fā)展，目前還沒有相應(yīng)的標(biāo)準(zhǔn)指南。這一領(lǐng)域知識的缺乏往往導(dǎo)致工程師按照個人的選擇進(jìn)行設(shè)計，最終無法滿足組織的要求。與其相反，外包的安全和區(qū)塊鏈測試專家憑借其全面的知識庫幫助客戶在其連接的基礎(chǔ)設(shè)施上構(gòu)建和使用區(qū)塊鏈技術(shù)。

這些服務(wù)包括對智能合約、安全控制、流程和訪問控制以及區(qū)塊鏈分類賬網(wǎng)絡(luò)內(nèi)的橫向移動進(jìn)行徹底的人工審查。還需要提供詳細(xì)的環(huán)境測試，包括移動應(yīng)用程序和Web應(yīng)用程序、API、網(wǎng)絡(luò)等。