火星链 火星链
Ctrl+D收藏火星链

RAD:?个通杀绝大多数交易平台的 XSS 0day 漏洞

作者:

时间:1900/1/1 0:00:00

文章来源:慢雾科技作者:慢雾安全团队

引子

慢雾区前后两位白帽黑客给我们反馈了这个XSS0day,第一位反馈的很早,但他自己把这个漏洞危害等级定义为低危,我们服务的交易所平台修复后,我们也没特别在意,直到第二位给我们再次提及这个XSS。

昨天,我们开始对我们服务的所有客户下发这个预警,内容:

0day漏洞预警

根据慢雾区匿名情报,通用K线展示JS库TradingView存在XSS0day漏洞,可绕过Cloudflare等防御机制。该漏洞被利用会导致用户帐号权限被盗、恶意操作等造成资产损失。请确认是否使用到该组件,如有使用到请与我们联系。

当确定我们的客户修复后,我们开始对外发声,但隐去了存在漏洞的具体组件:TradingView。今天我们发现漏洞细节已经开始失控,特出此文,针对这个漏洞做个剖析。

数据:部分比特币区块大小已接近4MB的理论硬上限:金色财经报道,区块链分析公司Glassnode数据显示,自5月以来比特币铭文活动一直在逐渐减少,但链上活跃地址数量开始回升,该比特币链上活动指标的提升被视为采用率增长和网络健康的信号。分析认为这是铭文交易者大量重复使用地址的结果,实际上网络活动正在旺盛发展,区块被塞满。由于利用隔离见证SegWit数据折扣,交易数量也达到了前所未有的高峰,这就意味着矿工们能在每个区块中容纳更多的交易数据,有些区块的大小甚至接近了4MB的理论硬上限。[2023/7/14 10:54:31]

防御方案

我们先给出当时我们同步给我们客户的临时快速解决方案:

TradingView库bundles?目录下有个library开头的js?文件,检查这个?文件是否存在漏漏洞洞代码:getScript(urlParams.indicatorsFile)

Cardano生态Stablecoin Djed将于下周上线主网:1月25日消息,Cardano首个去中心化Stablecoin Djed将于下周在主网上线。

此前报道,Djed由Coti公司与Cardano首席开发商Input Out put合作开发,是一种与美元软挂钩的去中心化Stablecoin。Djed推出时将被集成到Cardano生态系统中的40个应用程序中。

Djed推出后,Cardano用户将能够使用Cardano的原生Token ADA作为抵押品来铸造Stablecoin,Stablecoin被设计为超额抵押,每个Djed都需要超过400%的抵押品价值才能铸造。(CoinDesk)[2023/1/25 11:29:36]

如果存在,临时解决?方案可以把代码改为:getScript(""),如有问题和我们反馈。

ApeCoin官方合约APE质押量已突破800万枚:12月7日消息,据ApeCoin官方质押合约数据显示,自质押功能上线以来APE质押量已突破800万枚,截至目前为8,007,716.8237APE,价值约合33,392,179.15美元。

此前报道,Horizen Labs披露APE的质押奖励将会在12月12日开始发放,未来三年将通过质押奖励1.75亿枚APE(占总供应量的17.5%),其中1亿枚分配给第一年的奖励。[2022/12/7 21:27:35]

聪明的前端黑只要看了防御?案就会知道怎么去构造这个利用。

漏洞细节

TradingView是做K线展示最流行的JS库,在数字货币交易所、股票交易所等都有大量使用,所以影响目标很好找到。有个测试目标后,我们直接来看触发链接,随便找两个:

社交元宇宙项目Trace完成300万美元种子轮融资:11月1日消息,印度社交元宇宙项目Trace宣布完成300万美元种子轮融资。此外,该公司还通过NFT销售募集到额外50万美元资金。Trace是一个基于地理位置的元宇宙社交游戏项目,允许用户创建自己的个性化头像,以便在各种虚拟世界中工作、娱乐和社交。Trace已经创建了一个应用内置交易市场,玩家可以使用原生Token在其中买卖头像、虚拟商品和其他游戏道具。(entrepreneur)[2022/11/2 12:07:09]

通过分析,触发最小简化的链接是:

必须存在三个参数:

disabledFeaturesenabledFeaturesindicatorsFile

indicatorsFile很好理解,而且利用逻辑非常简单,代码所在位置:TradingView库bundles目录下有个library开头的js文件,触发点如下:

$.getScript非常的熟悉了,在jQuery时代就已经实战了多次,这个函数核心代码是:

看代码,可以动态创建一个script标签对象,远程加载我们提供的js文件:

https://xssor.io/s/x.js

那么,另外两个参数为什么是必要的?继续看代码:

这段代码在触发点之前,如果没有提供合法的disabledFeatures及enabledFeatures参数格式,这段代码就会因为报错而没法继续。很容易知道,合法参数格式只要满足这两个参数是JSON格式即可。所以,最终利用链接是:

漏洞威力

TradingView是做K线展示最流行的JS库,在数字货币交易所、股票交易所等都有大量使用,所以影响目标很好找到。有个测试目标后,我们直接来看触发链接,随便找两个:

为什么我们会说这个XSS可以绕过Cloudflare等防御机制?这个「等」其实还包括了浏览器内置的XSS防御机制。原因很简单,因为这是一个DOMXSS,DOMXSS的优点是不需要经过服务端,不用面对服务端的防御机制,同时不会在服务端留下日志。也正是因为这是DOMXSS且非常简单的触发方式,浏览器端的XSS防御机制也没触发。

然后这个XSS的触发域和目标重要业务所在的域几乎没有做什么分离操作,利用代码其实非常好写,比如直接基于$里的一堆方法就可以轻易获取目标平台的目标用户隐私,甚至偷偷发起一些高级操作。

有经验的攻击者,是知道如何大批量找到目标的,然后写出漂亮的利用代码。这里就不展开了。

最后做个补充:

前端黑里,需要特别去做好的安全有:XSS、CSRF、CORS、Cookie安全、HTTP响应头安全、第三方js安全、第三方JSON安全、HTTPS/HSTS安全、本地储存安全等。可以查看这篇近一步了解:

杂谈区块链生态里的前端黑:https://mp.weixin.qq.com/s/d_4gUc3Ay_He4fintNXw6Q

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

慢雾科技

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627037.html

漏洞风险安全

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

下一篇:

区块链照妖镜上线,你的对面是好是坏我一看就知道

标签:ADIDINRADVIEWRadioShackREDINU价格RADIO价格VersoView

以太坊价格热门资讯
APP:火星一线 | 瑞士最大证券交易所SIX正创建与瑞士法郎挂钩的稳定币

火星财经APP一线报道,瑞士最大证券交易所SIX正创建一种与瑞士法郎挂钩的稳定币,以促进SIX数字交易所上的交易。目前,SIX尚未透露关于该稳定币的更多细节.

1900/1/1 0:00:00
BTC:5.23比特币如预期中选择下行,后市该如何操作

昨日晚间的走势如弘财晚间文章中所料,BTC在逐渐偏下行的趋势影响下,其走势还是选择了向下破位。我们可以从昨天晚间的走势上看到,日内在下破7800试探7700区域支撑后,小时线进入反弹阶段晚间一阵.

1900/1/1 0:00:00
DASH:BTC探及支撑真空区域上沿,关注DASH关键点位布局机会

隔夜HT如期爆发走出了一波强势上涨,目前4小时级别双底结构将成,一旦确认企稳后市潜力仍存。BTC行至支撑真空区边缘,7600一线至关重要.

1900/1/1 0:00:00
ION:Bitfinex Obtains Stay of Document Demands in New York

Yesterday,inManhattan,BitfinexandTetherfiledamotiontodismisstheproceedingbroughtbytheNewYorkAttor.

1900/1/1 0:00:00
PIE:牛市来袭 PIEXGO或将成为最大黑马

比特币领涨突破8000美元后,加密货币行业已出现出牛市迹象,对于用户乃至业内人士而言,牛市中该如何抓住机会?重在投资选择,即选择项目和选择平台.

1900/1/1 0:00:00
OIN:起底「黑暗幽灵」战队:做空币价,打劫过所有头部交易所,除了币安

7月21日开始,FCoin的平台币FT价格大跌,一日跌幅超过14%。而FCoin的安全团队监测发现,有一批僵尸账户突然激活,出现「均匀交易」,每5秒钟进行一次抛单、吃单的操作,拼命打压价格.

1900/1/1 0:00:00