外部滲透測試

1. 範圍

Trail of Bits 在 2025-12-01 至 2026-01-10 期間,對 bitexasia 平臺進行了為期 6 周的黑盒/灰盒滲透測試。測試範圍包括:

• 公開網頁應用(bitexasia.com)
• 已認證客戶儀表盤
• REST API(v1 公開 + 私有端點)
• WebSocket 基礎設施
• 客戶數據處理管道(KYC 供應商集成、提現授權流程)
• 內部管理工具(範圍有限,在我方安全團隊陪同下進行)

範圍之外:物理安全、對員工的社會工程攻擊、託管密鑰基礎設施(由有保險擔保的專家單獨審計)。

2. 發現摘要

共發現 10 項:

• 0 項嚴重
• 1 項高危 — 參見發現 1
• 3 項中等
• 4 項低危
• 2 項提示

3. 重點發現(公開版本)

發現 1(高危):交易歷史導出中的不安全直接對象引用(IDOR)

問題: 已認證的交易歷史導出接受未與會話 Cookie 綁定的數字帳戶 ID 參數。已登入的攻擊者可請求其他用戶的交易歷史。

影響: 可披露任意帳戶的交易歷史(時間戳、交易對、規模)。未直接泄露資金或個人身份資訊。

狀態: 已解決。 參數已移除;帳戶 ID 由會話推導。2025-12-08 熱修復,Trail of Bits 於 2026-01-04 復測 — 確認已修復。

發現 4(中等):公開價格端點的 CORS 配置過寬

問題: 憑據型端點上的 CORS 配置錯誤使得在未預期的情形下, Access-Control-Allow-Origin 回顯請求來源。結合另一端點上的 CSRF 缺口,理論上可被串聯利用。

狀態: 已解決。 憑據型請求的 CORS 已收緊至已知來源;公開價格端點已改為無憑據。

發現 7(低危):客戶端打包 source map 中的密鑰

問題: 公開營銷站點的 source map 包含對內部 Datadog API 密鑰的引用(只讀指標提交,公共倉庫)。無可操作攻擊面,但噪音過大。

狀態: 已解決。 營銷站點不再發布 source map;作為預防措施已輪換密鑰。

4. 復測結果

Trail of Bits 於 2026-01-04 提前對高嚴重性的發現進行了復測(依據本次合作針對 High 與 Critical 級別問題的快速復測條款)。其餘 9 項發現在 2026-01-08 至 2026-01-10 期間完成復測:

• 10 項發現全部: 確認已解決。
• 0 項迴歸: 修復工作未引入新發現。

5. Trail of Bits 的摘要意見

「bitexasia 在整個委託期間展示了成熟的工程實踐。所有發現均在約定的 SLA 內得到響應,10 個案例中有 9 個的修復一次成功,團隊在委託期內一起安全事件中的事件響應表現訓練有素。我們建議繼續保留現有的內部紅隊計劃,並按當前約 12 個月的週期對外部委託進行預算。」

簽署:Trail of Bits,2026-01-15。

6. 完整報告與聯繫方式

完整的 Trail of Bits 報告(約 120 頁,包含每項發現的詳細復現步驟)在簽署保密協議後可供合資格方查閱。申請方式: audits@bitexasia.com;5 個工作日內回覆。