加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

?個通殺絕大多數交易平臺的 XSS 0day 漏洞_FAN:區塊鏈

Author:

Time:1900/1/1 0:00:00

文章來源:慢霧科技作者:慢霧安全團隊

引子

慢霧區前后兩位白帽黑客給我們反饋了這個XSS0day,第一位反饋的很早,但他自己把這個漏洞危害等級定義為低危,我們服務的交易所平臺修復后,我們也沒特別在意,直到第二位給我們再次提及這個XSS。

昨天,我們開始對我們服務的所有客戶下發這個預警,內容:

0day漏洞預警

根據慢霧區匿名情報,通用K線展示JS庫TradingView存在XSS0day漏洞,可繞過Cloudflare等防御機制。該漏洞被利用會導致用戶帳號權限被盜、惡意操作等造成資產損失。請確認是否使用到該組件,如有使用到請與我們聯系。

當確定我們的客戶修復后,我們開始對外發聲,但隱去了存在漏洞的具體組件:TradingView。今天我們發現漏洞細節已經開始失控,特出此文,針對這個漏洞做個剖析。

Yuga Labs版稅收入占當前以太坊鏈上NFT總版稅收入的近10%:8月2日消息,Nansen分析稱,由于OpenSea和Blur兩大平臺之間的激勵競爭,對NFT市場的版稅支付產生巨大影響,導致今年版稅收入大幅下降,而且基本難以回到2019年時的市場高點。

根據Nansen發布的以太坊鏈上NFT版稅收入數據,Yuga Labs的版稅收入占到當前以太坊鏈上NFT總版稅收入的9.35%,Azuki占比為3.34%,CloneX占比為2.82%。[2023/8/2 16:14:22]

防御方案

我們先給出當時我們同步給我們客戶的臨時快速解決方案:

TradingView庫bundles?目錄下有個library開頭的js?文件,檢查這個?文件是否存在漏漏洞洞代碼:getScript(urlParams.indicatorsFile)

A股收盤:深證區塊鏈50指數下跌1.09%:金色財經消息,A股收盤,上證指數報3245.31點,收盤下跌0.72%,深證成指報11416.57點,收盤下跌0.77%,深證區塊鏈50指數報3128.74點,收盤下跌1.09%。區塊鏈板塊收盤下跌1.15%,數字貨幣板塊收盤下跌1.06%。[2023/3/14 13:02:58]

如果存在,臨時解決?方案可以把代碼改為:getScript(""),如有問題和我們反饋。

聰明的前端黑只要看了防御?案就會知道怎么去構造這個利用。

漏洞細節

TradingView是做K線展示最流行的JS庫,在數字貨幣交易所、股票交易所等都有大量使用,所以影響目標很好找到。有個測試目標后,我們直接來看觸發鏈接,隨便找兩個:

安全團隊:發現有關 Fantom 網絡上 Go-Opera 中的錯誤報告:金色財經消息,據 CertiK 預警顯示,發現有關 Fantom 網絡上 Go-Opera 中的錯誤的報告,該錯誤允許攻擊者耗盡驗證節點錢包。推特用戶 @0xNevermind 聲稱他們的 Fantom 驗證節點錢包已被耗盡 25 萬枚 FTM(約 7.5 萬美元),團隊將該問題報告給了 Fantom 基金會,并提供了有關如何重現和修復錯誤的步驟,在 7 天后 Fantom 團隊沒有采取任何行動或更新,因此決定公開此信息以保護其他 Fantom 節點所有者。[2022/7/3 1:47:00]

通過分析,觸發最小簡化的鏈接是:

必須存在三個參數:

Etherscan關注列表新增ERC-721和ERC-1155代幣轉移郵件提示選項:6月25日消息,區塊鏈瀏覽器Etherscan關注列表(Watch List)新增ERC-721和ERC-1155代幣轉移郵件提示選項。當NFT從用戶關注列表中的地址轉入或轉出時,可選擇接收郵件提示。[2022/6/26 1:31:38]

disabledFeaturesenabledFeaturesindicatorsFile

indicatorsFile很好理解,而且利用邏輯非常簡單,代碼所在位置:TradingView庫bundles目錄下有個library開頭的js文件,觸發點如下:

$.getScript非常的熟悉了,在jQuery時代就已經實戰了多次,這個函數核心代碼是:

看代碼,可以動態創建一個script標簽對象,遠程加載我們提供的js文件:

https://xssor.io/s/x.js

那么,另外兩個參數為什么是必要的?繼續看代碼:

這段代碼在觸發點之前,如果沒有提供合法的disabledFeatures及enabledFeatures參數格式,這段代碼就會因為報錯而沒法繼續。很容易知道,合法參數格式只要滿足這兩個參數是JSON格式即可。所以,最終利用鏈接是:

漏洞威力

TradingView是做K線展示最流行的JS庫,在數字貨幣交易所、股票交易所等都有大量使用,所以影響目標很好找到。有個測試目標后,我們直接來看觸發鏈接,隨便找兩個:

為什么我們會說這個XSS可以繞過Cloudflare等防御機制?這個「等」其實還包括了瀏覽器內置的XSS防御機制。原因很簡單,因為這是一個DOMXSS,DOMXSS的優點是不需要經過服務端,不用面對服務端的防御機制,同時不會在服務端留下日志。也正是因為這是DOMXSS且非常簡單的觸發方式,瀏覽器端的XSS防御機制也沒觸發。

然后這個XSS的觸發域和目標重要業務所在的域幾乎沒有做什么分離操作,利用代碼其實非常好寫,比如直接基于$里的一堆方法就可以輕易獲取目標平臺的目標用戶隱私,甚至偷偷發起一些高級操作。

有經驗的攻擊者,是知道如何大批量找到目標的,然后寫出漂亮的利用代碼。這里就不展開了。

最后做個補充:

前端黑里,需要特別去做好的安全有:XSS、CSRF、CORS、Cookie安全、HTTP響應頭安全、第三方js安全、第三方JSON安全、HTTPS/HSTS安全、本地儲存安全等。可以查看這篇近一步了解:

雜談區塊鏈生態里的前端黑:https://mp.weixin.qq.com/s/d_4gUc3Ay_He4fintNXw6Q

來源鏈接:mp.weixin.qq.com

本文來源于非小號媒體平臺:

慢霧科技

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3627037.html

漏洞風險安全

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

下一篇:

區塊鏈照妖鏡上線,你的對面是好是壞我一看就知道

Tags:FANVIEING區塊鏈Universidad de Chile Fan TokenMovieCashGambling Chain區塊鏈技術適合女生嗎

POL幣最新價格
豐元創投吳軍:區塊鏈可能是大數據安全問題的解決之道_區塊鏈:filecoin幣在哪個交易所

2018中國計算機大會于10月25-27日在杭州國際博覽中心舉辦,Google中日韓文搜索算法的主要設計者、豐元創投創始合伙人吳軍發表了《超級智能時代》的主題演講.

1900/1/1 0:00:00
證券行業的區塊鏈之路, 或許注定禁不起“折騰” | 鋅式_區塊鏈:加密貨幣

文:易柏伶 編輯:王巧 16~17世紀,荷蘭的東印度公司開創了“利益共享,風險共擔”的金融機制,借助股票發行籌集了大量資金,大膽踏上了遠征東方的海上航線,開創了荷蘭海上帝國之路.

1900/1/1 0:00:00
谷歌將于 6 月份禁止發布數字貨幣廣告_比特幣:非小號

搜索巨頭谷歌表示,將在今年6月改變其金融產品政策,此舉將導致與數字貨幣相關的廣告被有效禁止。在周二發布的一篇博客文章中,該公司表示,將在今年6月修改現有的金融產品限制清單,將一些廣告內容列入黑名.

1900/1/1 0:00:00
加密貨幣絕對是好東西,這位首席安全科學家這么說_加密貨幣:非小號幣贏網

盡管投資于仍處于萌芽狀態的加密貨幣市場存在風險,但一位首席安全科學家認為,加密貨幣仍然「絕對是一件好事」——他們只是有一些工作要做.

1900/1/1 0:00:00
報告:埃森哲、IBM是實現企業范圍數字轉型方面的領導者_區塊鏈:區塊鏈幣在哪個平臺交易

據PRWeb消息,Avasant發布其旗艦報告“DigitalMastersRadarView?2019”,該報告認可了16家領先的服務提供商.

1900/1/1 0:00:00
起底「黑暗幽靈」戰隊:做空幣價,打劫過所有頭部交易所,除了幣安_COI:COIN價格

7月21日開始,FCoin的平臺幣FT價格大跌,一日跌幅超過14%。而FCoin的安全團隊監測發現,有一批僵尸賬戶突然激活,出現「均勻交易」,每5秒鐘進行一次拋單、吃單的操作,拼命打壓價格.

1900/1/1 0:00:00
ads