外部渗透测试

1. 范围

Trail of Bits 在 2025-12-01 至 2026-01-10 期间对 bitexasia 平台进行了为期 6 周的黑盒/灰盒渗透测试。范围包括:

• 公开网页应用(bitexasia.com)
• 已认证客户仪表盘
• REST API(v1 公开 + 私有端点)
• WebSocket 基础设施
• 客户数据处理管道(KYC 供应商集成、提现授权流程)
• 内部管理工具(范围有限,在我方安全团队陪同下进行)

范围之外:物理安全、对员工的社会工程攻击、托管密钥基础设施(由有保险担保的专家单独审计)。

2. 发现摘要

共发现 10 项:

• 0 项严重
• 1 项高危 — 参见发现 1
• 3 项中等
• 4 项低危
• 2 项提示

3. 重点发现(公开版本)

发现 1(高危):交易历史导出中的不安全直接对象引用(IDOR)

问题: 已认证的交易历史导出接受未与会话 Cookie 绑定的数字账户 ID 参数。已登录的攻击者可请求其他用户的交易历史。

影响: 可披露任意账户的交易历史(时间戳、交易对、规模)。未直接泄露资金或个人身份信息。

状态: 已解决。 参数已移除;账户 ID 由会话推导。2025-12-08 热修复,Trail of Bits 于 2026-01-04 复测 — 确认已修复。

发现 4(中等):公开价格端点的 CORS 配置过宽

问题: 凭据型端点上的 CORS 配置错误使得在未预期的情形下, Access-Control-Allow-Origin 回显请求来源。结合另一端点上的 CSRF 缺口,理论上可被串联利用。

状态: 已解决。 凭据型请求的 CORS 已收紧至已知来源;公开价格端点已改为无凭据。

发现 7(低危):客户端打包 source map 中的密钥

问题: 公开营销站点的 source map 包含对内部 Datadog API 密钥的引用(只读指标提交,公共仓库)。无可操作攻击面,但噪音过大。

状态: 已解决。 营销站点不再发布 source map;作为预防措施已轮换密钥。

4. 复测结果

Trail of Bits 于 2026-01-04 在批量窗口之前优先复测了高危发现(按委托中关于高危与严重发现的加急复测条款)。其余 9 项发现在 2026-01-08 至 2026-01-10 期间复测:

• 10 项发现全部: 确认已解决。
• 0 项回归: 修复工作未引入新发现。

5. Trail of Bits 总体意见

「bitexasia 在整个委托期间展示了成熟的工程实践。所有发现均在约定的 SLA 内得到响应,10 个案例中有 9 个的修复一次成功,团队在委托期内一起安全事件中的事件响应表现训练有素。我们建议继续保留现有的内部红队计划,并按当前约 12 个月的周期对外部委托进行预算。」

签署:Trail of Bits,2026-01-15。

6. 完整报告与联系方式

Trail of Bits 完整报告(约 120 页,包含每项发现的详细复现步骤)可在 NDA 下提供给合格方。请通过 audits@bitexasia.com;5 个工作日内回复。