极客日报 #295

极客日报#295

本期收录 3 条社区推荐，涉及信不过钱包，那就自己生成密钥、CVE-2020-14645 Weblogic 远程代码执行漏洞分析、Curve 漏洞报告。

2020年10月14日

本期推荐

信不过钱包，那就自己生成密钥

推荐人：Frozen

推荐应用，通过客户端钱包生成器，可以在Web浏览器中方便地生成加密货币钱包地址及其对应的私钥。

CVE-2020-14645 Weblogic 远程代码执行漏洞分析

推荐人：加一

本文针对 Weblogic CVE-2020-14645 漏洞进行分析和复现

国庆期间，0x 团队的研究人员 P. Zeitz 披露了 Curve 的一个安全漏洞，Curve 合约中有个很关键的参数 A，而在 A 值在更新前后会出现一个很大的套利空间。Curve 的合约经过多轮安全审计，包括 Curve 的分叉项目 Swerve，安全审计并不能让人完全放心。所以在合约安全上还需要更多的经验和更先进的工具。文章提到了一般的 Fuzzing 是很难发现这类漏洞的，需要更复杂的审计手段。形式化验证是否能胜任并发现这类漏洞呢？答案当然是 YES，不过形式化验证的成本还居高不下，还需要更多的积累。

Rebase 极客日报由社区志愿者共同维护，持续整理值得关注的技术内容与行业信号。