外部渗透測試

1. 范围

Trail of Bits 在 2025-12-01 至 2026-01-10 期间對 bitexasia 平台进行了為期 6 周的黑盒/灰盒渗透測試。范围包括:

• 公開网页應用(bitexasia.com)
• 已認證客戶仪表盘
• REST API(v1 公開 + 私有端点)
• WebSocket 基礎设施
• 客戶數據處理管道(KYC 供應商集成、提现授权流程)
• 内部管理工具(范围有限,在我方安全团队陪同下进行)

范围之外:物理安全、對員工的社会工程攻击、托管密钥基礎设施(由有保险担保的专家单独審計)。

2. 发现摘要

共发现 10 项:

• 0 项严重
• 1 项高危 — 参見发现 1
• 3 项中等
• 4 项低危
• 2 项提示

3. 重点发现(公開版本)

发现 1(高危):交易历史導出中的不安全直接對象引用(IDOR)

问題: 已認證的交易历史導出接受未与会话 Cookie 绑定的數位帳戶 ID 参数。已登入的攻击者可请求其他用戶的交易历史。

影响: 可披露任意帳戶的交易历史(時间戳、交易對、规模)。未直接泄露资金或个人身份資訊。

狀態: 已解决。 参数已移除;帳戶 ID 由会话推導。2025-12-08 热修複,Trail of Bits 于 2026-01-04 複測 — 确认已修複。

发现 4(中等):公開价格端点的 CORS 配置过宽

问題: 凭据型端点上的 CORS 配置错误使得在未预期的情形下, Access-Control-Allow-Origin 回显请求来源。結合另一端点上的 CSRF 缺口,理论上可被串联利用。

狀態: 已解决。 凭据型请求的 CORS 已收紧至已知来源;公開价格端点已改為无凭据。

发现 7(低危):客戶端打包 source map 中的密钥

问題: 公開营销站点的 source map 包含對内部 Datadog API 密钥的引用(只读指標提交,公共仓库)。无可操作攻击面,但噪音过大。

狀態: 已解决。 营销站点不再发布 source map;作為预防措施已轮换密钥。

4. 複測結果

Trail of Bits 于 2026-01-04 在批量窗口之前优先複測了高危发现(按委托中关于高危与严重发现的加急複測條款)。其余 9 项发现在 2026-01-08 至 2026-01-10 期间複測:

• 10 项发现全部: 确认已解决。
• 0 项回归: 修複工作未引入新发现。

5. Trail of Bits 总体意見

「bitexasia 在整个委托期间展示了成熟的工程實践。所有发现均在约定的 SLA 内得到响應,10 个案例中有 9 个的修複一次成功,团队在委托期内一起安全事件中的事件响應表现训練有素。我们建議繼續保留现有的内部红队计划,并按当前约 12 个月的周期對外部委托进行预算。」

签署:Trail of Bits,2026-01-15。

6. 完整报告与联系方式

Trail of Bits 完整报告(约 120 页,包含每项发现的详细複现步骤)可在 NDA 下提供给合格方。请通过 audits@bitexasia.com;5 个工作日内回複。