以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

?個通殺絕大多數交易平臺的 XSS 0day 漏洞_COIN

Author:

Time:1900/1/1 0:00:00

文章來源:慢霧科技作者:慢霧安全團隊

引子

慢霧區前后兩位白帽黑客給我們反饋了這個XSS0day,第一位反饋的很早,但他自己把這個漏洞危害等級定義為低危,我們服務的交易所平臺修復后,我們也沒特別在意,直到第二位給我們再次提及這個XSS。

昨天,我們開始對我們服務的所有客戶下發這個預警,內容:

0day漏洞預警

根據慢霧區匿名情報,通用K線展示JS庫TradingView存在XSS0day漏洞,可繞過Cloudflare等防御機制。該漏洞被利用會導致用戶帳號權限被盜、惡意操作等造成資產損失。請確認是否使用到該組件,如有使用到請與我們聯系。

當確定我們的客戶修復后,我們開始對外發聲,但隱去了存在漏洞的具體組件:TradingView。今天我們發現漏洞細節已經開始失控,特出此文,針對這個漏洞做個剖析。

Coinbase首席執行官:Coinbase目前打算保持員工人數穩定:金色財經報道,Coinbase首席執行官:Coinbase目前打算保持員工人數穩定。金色財經此前報道,Coinbase(COIN.O)2023年Q2營收為7.079億美元,市場預期為6.33億美元,去年同期為8.08億美元。[2023/8/4 16:17:34]

防御方案

我們先給出當時我們同步給我們客戶的臨時快速解決方案:

TradingView庫bundles?目錄下有個library開頭的js?文件,檢查這個?文件是否存在漏漏洞洞代碼:getScript(urlParams.indicatorsFile)

如果存在,臨時解決?方案可以把代碼改為:getScript(""),如有問題和我們反饋。

美股三大指數集體收漲,標普500指數漲1.14%:金色財經報道,美股三大指數集體收漲,納指漲1.65%,標普500指數漲1.14%,道指漲0.63%。[2023/6/28 22:04:30]

聰明的前端黑只要看了防御?案就會知道怎么去構造這個利用。

漏洞細節

TradingView是做K線展示最流行的JS庫,在數字貨幣交易所、股票交易所等都有大量使用,所以影響目標很好找到。有個測試目標后,我們直接來看觸發鏈接,隨便找兩個:

通過分析,觸發最小簡化的鏈接是:

必須存在三個參數:

disabledFeaturesenabledFeaturesindicatorsFile

Evmos開發團隊Tharsis Labs完成2700萬美元融資:11月2日消息,Evmos核心開發團隊Tharsis Labs宣布通過代幣銷售完成2700萬美元種子輪融資,Polychain Capital領投,Galaxy、Huobi、HashKey、Coinbase Ventures、Circle Venture、Asymmetric以及多位Web3領域的天使投資者參投。

據悉,Evmos是使用Cosmos SDK構建的EVM兼容鏈,使開發者能夠輕松推出跨生態系統使用的DApp。[2022/11/2 12:10:48]

indicatorsFile很好理解,而且利用邏輯非常簡單,代碼所在位置:TradingView庫bundles目錄下有個library開頭的js文件,觸發點如下:

美國2年期/10年期國債收益率倒掛幅度達28個基點 創20年新高:金色財經消息,行情顯示,美國2年期/10年期國債收益率倒掛幅度達28個基點,創20年新高。[2022/7/27 2:41:21]

$.getScript非常的熟悉了,在jQuery時代就已經實戰了多次,這個函數核心代碼是:

看代碼,可以動態創建一個script標簽對象,遠程加載我們提供的js文件:

https://xssor.io/s/x.js

那么,另外兩個參數為什么是必要的?繼續看代碼:

這段代碼在觸發點之前,如果沒有提供合法的disabledFeatures及enabledFeatures參數格式,這段代碼就會因為報錯而沒法繼續。很容易知道,合法參數格式只要滿足這兩個參數是JSON格式即可。所以,最終利用鏈接是:

漏洞威力

TradingView是做K線展示最流行的JS庫,在數字貨幣交易所、股票交易所等都有大量使用,所以影響目標很好找到。有個測試目標后,我們直接來看觸發鏈接,隨便找兩個:

為什么我們會說這個XSS可以繞過Cloudflare等防御機制?這個「等」其實還包括了瀏覽器內置的XSS防御機制。原因很簡單,因為這是一個DOMXSS,DOMXSS的優點是不需要經過服務端,不用面對服務端的防御機制,同時不會在服務端留下日志。也正是因為這是DOMXSS且非常簡單的觸發方式,瀏覽器端的XSS防御機制也沒觸發。

然后這個XSS的觸發域和目標重要業務所在的域幾乎沒有做什么分離操作,利用代碼其實非常好寫,比如直接基于$里的一堆方法就可以輕易獲取目標平臺的目標用戶隱私,甚至偷偷發起一些高級操作。

有經驗的攻擊者,是知道如何大批量找到目標的,然后寫出漂亮的利用代碼。這里就不展開了。

最后做個補充:

前端黑里,需要特別去做好的安全有:XSS、CSRF、CORS、Cookie安全、HTTP響應頭安全、第三方js安全、第三方JSON安全、HTTPS/HSTS安全、本地儲存安全等。可以查看這篇近一步了解:

雜談區塊鏈生態里的前端黑:https://mp.weixin.qq.com/s/d_4gUc3Ay_He4fintNXw6Q

來源鏈接:mp.weixin.qq.com

本文來源于非小號媒體平臺:

慢霧科技

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3627037.html

漏洞風險安全

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

下一篇:

區塊鏈照妖鏡上線,你的對面是好是壞我一看就知道

Tags:COINCOIOINcoinbaseAPF coinbitcoin交易所下載BloggercoinCoinBase中國人怎么實名認證

比特幣交易所
IDAX開放EMI充提、交易公告_IDA

親愛的用戶:?? IDAX將上線EMI。開通EMI/ETH交易,立即前往。充值開放時間:2019年6月25日21:00(UTC8)交易開放時間:2019年5月25日21:00(UTC8)Numi.

1900/1/1 0:00:00
審計報告:韓國交易所 Upbit 被澄清,擁有 100% 用戶資金_BIT

據CCN8月4日報道,最新的一份審計報告顯示,韓國最大的加密貨幣交易所之一Upbit擁有其資產負債表顯示的全部資金。今年5月,當地政府對Upbit涉嫌操縱資產負債表和夸大交易量進行了突擊檢查.

1900/1/1 0:00:00
火星一線 | 紐交所Arca申請更改規則,以尋求上市比特幣投資信托_比特幣

火星財經APP一線報道,紐約證券交易所Arca已正式向證券交易委員會申請更改規則,允許其上市擬議中的比特幣投資信托.

1900/1/1 0:00:00
幣換天下繁星計劃商城APP將于5月22日正式開啟_FORT

幣換天下繁星計劃正式啟動,并將于2019年5月22上線新版端口APP,千種產品,物美價廉。根據電商的起源發展來看當前種類多,價格低,不一定就會造成人人需要,人人買單的結果.

1900/1/1 0:00:00
XGP交易大賽即將開啟_XGP

5月8日凌晨0:00至5月15日23:00活動期間,參與交易XGP/BTC和XGP/USDT的用戶將按活動期間個人XGP交易量,排在前10名的用戶可以獲得大賽獎勵.

1900/1/1 0:00:00
追隨日本腳步,韓國 Korbit 宣布下架五種加密貨幣_加密貨幣

韓國加密貨幣交易所Korbit宣布將不再支持五種加密貨幣的交易,分別是:Dash、Monero、Zcash、Augur和Steem.

1900/1/1 0:00:00
ads