文章來源:慢霧科技作者:慢霧安全團隊
引子
慢霧區前后兩位白帽黑客給我們反饋了這個XSS0day,第一位反饋的很早,但他自己把這個漏洞危害等級定義為低危,我們服務的交易所平臺修復后,我們也沒特別在意,直到第二位給我們再次提及這個XSS。
昨天,我們開始對我們服務的所有客戶下發這個預警,內容:
0day漏洞預警
根據慢霧區匿名情報,通用K線展示JS庫TradingView存在XSS0day漏洞,可繞過Cloudflare等防御機制。該漏洞被利用會導致用戶帳號權限被盜、惡意操作等造成資產損失。請確認是否使用到該組件,如有使用到請與我們聯系。
當確定我們的客戶修復后,我們開始對外發聲,但隱去了存在漏洞的具體組件:TradingView。今天我們發現漏洞細節已經開始失控,特出此文,針對這個漏洞做個剖析。
43689枚BNB從未知錢包轉移到Binance:金色財經報道,Whale Alert監測顯示,13分鐘前43689枚BNB(約13374616美元)從未知錢包轉移到Binance。[2023/6/2 11:53:49]
防御方案
我們先給出當時我們同步給我們客戶的臨時快速解決方案:
TradingView庫bundles?目錄下有個library開頭的js?文件,檢查這個?文件是否存在漏漏洞洞代碼:getScript(urlParams.indicatorsFile)
如果存在,臨時解決?方案可以把代碼改為:getScript(""),如有問題和我們反饋。
聰明的前端黑只要看了防御?案就會知道怎么去構造這個利用。
Doodles AR應用正在測試中:5月25日消息,Doodles 聯合創始人 burnt toast 在推特發布 Doodles 的 AR 應用測試視頻。[2023/5/25 10:39:51]
漏洞細節
TradingView是做K線展示最流行的JS庫,在數字貨幣交易所、股票交易所等都有大量使用,所以影響目標很好找到。有個測試目標后,我們直接來看觸發鏈接,隨便找兩個:
通過分析,觸發最小簡化的鏈接是:
必須存在三個參數:
disabledFeaturesenabledFeaturesindicatorsFile
indicatorsFile很好理解,而且利用邏輯非常簡單,代碼所在位置:TradingView庫bundles目錄下有個library開頭的js文件,觸發點如下:
PEPE 24H漲幅超60%,幣價創歷史新高:4月30日消息,據行情數據顯示,Pepe(PEPE)24H漲幅達66.3%,現報價0.000000536689 USDT,創歷史新高。[2023/4/30 14:35:45]
$.getScript非常的熟悉了,在jQuery時代就已經實戰了多次,這個函數核心代碼是:
看代碼,可以動態創建一個script標簽對象,遠程加載我們提供的js文件:
https://xssor.io/s/x.js
那么,另外兩個參數為什么是必要的?繼續看代碼:
這段代碼在觸發點之前,如果沒有提供合法的disabledFeatures及enabledFeatures參數格式,這段代碼就會因為報錯而沒法繼續。很容易知道,合法參數格式只要滿足這兩個參數是JSON格式即可。所以,最終利用鏈接是:
迪士尼正計劃聘請律師以探索包括NFT在內的新興機會:金色財經報道,據LinkedIn上的一則招聘廣告,迪士尼公司正在尋找一名交易律師,以探索包括NFT在內的新興技術機會,該員工將“與業務團隊合作,在他們計劃新的全球新興技術項目時”探索其他領域,如元宇宙和DeFi。(theblock)[2022/9/25 7:19:20]
漏洞威力
TradingView是做K線展示最流行的JS庫,在數字貨幣交易所、股票交易所等都有大量使用,所以影響目標很好找到。有個測試目標后,我們直接來看觸發鏈接,隨便找兩個:
為什么我們會說這個XSS可以繞過Cloudflare等防御機制?這個「等」其實還包括了瀏覽器內置的XSS防御機制。原因很簡單,因為這是一個DOMXSS,DOMXSS的優點是不需要經過服務端,不用面對服務端的防御機制,同時不會在服務端留下日志。也正是因為這是DOMXSS且非常簡單的觸發方式,瀏覽器端的XSS防御機制也沒觸發。
然后這個XSS的觸發域和目標重要業務所在的域幾乎沒有做什么分離操作,利用代碼其實非常好寫,比如直接基于$里的一堆方法就可以輕易獲取目標平臺的目標用戶隱私,甚至偷偷發起一些高級操作。
有經驗的攻擊者,是知道如何大批量找到目標的,然后寫出漂亮的利用代碼。這里就不展開了。
最后做個補充:
前端黑里,需要特別去做好的安全有:XSS、CSRF、CORS、Cookie安全、HTTP響應頭安全、第三方js安全、第三方JSON安全、HTTPS/HSTS安全、本地儲存安全等。可以查看這篇近一步了解:
雜談區塊鏈生態里的前端黑:https://mp.weixin.qq.com/s/d_4gUc3Ay_He4fintNXw6Q
來源鏈接:mp.weixin.qq.com
本文來源于非小號媒體平臺:
慢霧科技
現已在非小號資訊平臺發布1篇作品,
非小號開放平臺歡迎幣圈作者入駐
入駐指南:
/apply_guide/
本文網址:
/news/3627037.html
漏洞風險安全
免責聲明:
1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場
下一篇:
區塊鏈照妖鏡上線,你的對面是好是壞我一看就知道
7月11日消息,由于沒有采取足夠措施幫助阻止加密貨幣交易所遭受黑客攻擊,韓國政府受到民眾批評。監管機構相關數據顯示,在經過政府檢查后,三家加密貨幣交易所發生黑客事件,造成近1億美元的損失.
1900/1/1 0:00:00金色財經比特幣5月21日訊根據美國國稅局一位專員給國會議員的質詢回復,該機構正在制定自2014年以來的首個加密貨幣稅收指引.
1900/1/1 0:00:00原鏈閱讀時長9分鐘:https://medium.com/@Panama_TJ/the-ten-commandments-of-crypto-security-3cd616185d40不少人曾被.
1900/1/1 0:00:00華爾街日報記者用了幾個月時間,臥底電報群,發掘出60多個涉嫌推動拉高出貨做局加密貨幣操縱行為的群組.
1900/1/1 0:00:00歐洲刑警組織(Europol)透露,一個國際網絡犯罪團伙通過惡意軟件控制自動取款機按其需要吐鈔,從多家銀行竊取了10多億美元,并一直利用比特幣洗錢.
1900/1/1 0:00:00據報道,美國司法部對加密貨幣交易員已經展開了針對加密貨幣交易者的一項刑事調查,他們可能通過老式非法手段操縱了市場.
1900/1/1 0:00:00