木星链 木星链
Ctrl+D收藏木星链

ADI:?个通杀绝大多数交易平台的 XSS 0day 漏洞

作者:

时间:1900/1/1 0:00:00

文章来源:慢雾科技作者:慢雾安全团队

引子

慢雾区前后两位白帽黑客给我们反馈了这个XSS0day,第一位反馈的很早,但他自己把这个漏洞危害等级定义为低危,我们服务的交易所平台修复后,我们也没特别在意,直到第二位给我们再次提及这个XSS。

昨天,我们开始对我们服务的所有客户下发这个预警,内容:

0day漏洞预警

根据慢雾区匿名情报,通用K线展示JS库TradingView存在XSS0day漏洞,可绕过Cloudflare等防御机制。该漏洞被利用会导致用户帐号权限被盗、恶意操作等造成资产损失。请确认是否使用到该组件,如有使用到请与我们联系。

当确定我们的客户修复后,我们开始对外发声,但隐去了存在漏洞的具体组件:TradingView。今天我们发现漏洞细节已经开始失控,特出此文,针对这个漏洞做个剖析。

CME“美联储观察”:美联储明年2月加息25个基点的概率为71.8%:金色财经报道,据CME“美联储观察”,美联储明年2月加息25个基点至4.50%-4.75%区间的概率为71.8%,加息50个基点的概率为28.2%;到明年3月累计加息25个基点的概率为18.8%,累计加息50个基点的概率为60.4%,累计加息75个基点的概率为20.8%。[2022/12/30 22:15:29]

防御方案

我们先给出当时我们同步给我们客户的临时快速解决方案:

TradingView库bundles?目录下有个library开头的js?文件,检查这个?文件是否存在漏漏洞洞代码:getScript(urlParams.indicatorsFile)

一近期囤积21% YFII代币的巨鲸将代币转至币安:金色财经报道,近期一个鲸鱼在前面9天囤了21%总量的YFII ,共计8487枚 。链上数据显示,1小时前,该巨鲸已经分两笔将100枚和8,387枚YFII转入币安交易所。[2022/11/21 7:50:26]

如果存在,临时解决?方案可以把代码改为:getScript(""),如有问题和我们反馈。

聪明的前端黑只要看了防御?案就会知道怎么去构造这个利用。

漏洞细节

TradingView是做K线展示最流行的JS库,在数字货币交易所、股票交易所等都有大量使用,所以影响目标很好找到。有个测试目标后,我们直接来看触发链接,随便找两个:

BitMEX创始人:ETH可能在合并前后略微下跌,而后因通缩趋势上涨:8月17日消息,BitMEX 创始人 Arthur Hayes 发布分析文章再次对以太坊价格做出预测,Arthur 认为在合并前市场会达到预期高点,一旦合并成功将出现价格调整,而后 ETH 将因为 PoS 的通缩而具备趋势上涨的动力。针对市场对能否合并成功的预判,Arthur 认为此轮反弹行情中 ETH/BTC 汇率的不断上升可以表明市场认为合并成功将是大概率的,我将在调整出现时加仓,因为好的标的无法估值。[2022/8/17 12:30:40]

通过分析,触发最小简化的链接是:

必须存在三个参数:

disabledFeaturesenabledFeaturesindicatorsFile

PeckShield:DecentraWorld发生RugPull,代币DEWO下跌97%:5月25日消息,据PeckShield监测显示,BNBChian上项目DecentraWorld发生RugPull,代币DEWO下跌97%,DecentraWorld社交账户已注销,约3200枚BNB(约100万美元)从DecentraWorld合约部署器中被提取。[2022/5/25 3:39:40]

indicatorsFile很好理解,而且利用逻辑非常简单,代码所在位置:TradingView库bundles目录下有个library开头的js文件,触发点如下:

$.getScript非常的熟悉了,在jQuery时代就已经实战了多次,这个函数核心代码是:

看代码,可以动态创建一个script标签对象,远程加载我们提供的js文件:

https://xssor.io/s/x.js

那么,另外两个参数为什么是必要的?继续看代码:

这段代码在触发点之前,如果没有提供合法的disabledFeatures及enabledFeatures参数格式,这段代码就会因为报错而没法继续。很容易知道,合法参数格式只要满足这两个参数是JSON格式即可。所以,最终利用链接是:

漏洞威力

TradingView是做K线展示最流行的JS库,在数字货币交易所、股票交易所等都有大量使用,所以影响目标很好找到。有个测试目标后,我们直接来看触发链接,随便找两个:

为什么我们会说这个XSS可以绕过Cloudflare等防御机制?这个「等」其实还包括了浏览器内置的XSS防御机制。原因很简单,因为这是一个DOMXSS,DOMXSS的优点是不需要经过服务端,不用面对服务端的防御机制,同时不会在服务端留下日志。也正是因为这是DOMXSS且非常简单的触发方式,浏览器端的XSS防御机制也没触发。

然后这个XSS的触发域和目标重要业务所在的域几乎没有做什么分离操作,利用代码其实非常好写,比如直接基于$里的一堆方法就可以轻易获取目标平台的目标用户隐私,甚至偷偷发起一些高级操作。

有经验的攻击者,是知道如何大批量找到目标的,然后写出漂亮的利用代码。这里就不展开了。

最后做个补充:

前端黑里,需要特别去做好的安全有:XSS、CSRF、CORS、Cookie安全、HTTP响应头安全、第三方js安全、第三方JSON安全、HTTPS/HSTS安全、本地储存安全等。可以查看这篇近一步了解:

杂谈区块链生态里的前端黑:https://mp.weixin.qq.com/s/d_4gUc3Ay_He4fintNXw6Q

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

慢雾科技

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627037.html

漏洞风险安全

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

下一篇:

区块链照妖镜上线,你的对面是好是坏我一看就知道

标签:ADIDINRADVIEWRadiant Capitalodin币价格Local TradersLakeViewMeta

酷币交易所热门资讯
DAX:IDAX市场总监H:赋能项目高质发展 IDAX开启新征程

也许我们这些聪明人,脑袋里能装的目标太多,所以遗忘了执著。《阿甘正传》里的这句话,无形中契合了当下区块链行业的许多“纷杂”现象.

1900/1/1 0:00:00
ARP:区块链如何助力数据共享隐私保护?

作者:徐茂桐,ARPA联合创始人&CEO稿件来源:小雨智媒过去的20年,互联网和移动互联网的高速发展,给社会带来给了巨大的变革,给人类生活带来了极大的方便.

1900/1/1 0:00:00
比特币:「火星公开课」第248期 | TokenGazer范宏达:技术共识 机构共识 应用扩展是近期行情的孕育力量

要点速览:1.资金在2018年下半年风险偏好降低,资金趋向于回流美国,比特币作为风险资产同样受到资金回流的极大影响.

1900/1/1 0:00:00
Poloniex疯狂退市:下一个被炒的是谁?

摘要:Poloniex的退市名单越拉越长。Circle于2018年2月收购了美国最大的密码交易所之一Poloniex,自那以来,该交易所已采取“黑色星期五”的方式将一些项目退市.

1900/1/1 0:00:00
NEO:NEO Foundation按计划解锁553万NEO

据NEO白皮书,NEOFoundation负责管理保留的占总量50%的NEO,但原则上每年可使用的NEO不超过总量的15%.

1900/1/1 0:00:00
沃尔顿链:价值启航 | 沃尔顿链全功能主网将于5月30日正式开源

继沃尔顿链WTC全功能主网上线、开放社区挖矿后,我们即将迎来沃尔顿链全功能主网的开源。目前,开源已经进入最后准备阶段,将于5月30正式开源。沃尔顿链是一条底层的商业生态公有链.

1900/1/1 0:00:00