文章来源:慢雾科技作者:慢雾安全团队
引子
慢雾区前后两位白帽黑客给我们反馈了这个XSS0day,第一位反馈的很早,但他自己把这个漏洞危害等级定义为低危,我们服务的交易所平台修复后,我们也没特别在意,直到第二位给我们再次提及这个XSS。
昨天,我们开始对我们服务的所有客户下发这个预警,内容:
0day漏洞预警
根据慢雾区匿名情报,通用K线展示JS库TradingView存在XSS0day漏洞,可绕过Cloudflare等防御机制。该漏洞被利用会导致用户帐号权限被盗、恶意操作等造成资产损失。请确认是否使用到该组件,如有使用到请与我们联系。
当确定我们的客户修复后,我们开始对外发声,但隐去了存在漏洞的具体组件:TradingView。今天我们发现漏洞细节已经开始失控,特出此文,针对这个漏洞做个剖析。
火币朱嘉伟:区块链是80、90、00后为数不多引领时代变革的一次机会:8月11日下午,火币集团首席运营官朱嘉伟发表了题为《走出巴别塔 区块链通向产业应用的密码》的主题演讲,他认为,每一代人都会遇到至少一次改变自己生命轨迹、改变世界的机会,区块链就是当下80、90、00后年轻人为数不多一次机会,建立全新的规则、引领时代的变革。
同时,每一个高速增长的新兴行业都有不尽的利益诱惑和对人性的考验,他希望所有从业者与爱好者,与火币一起抵制行业乱象,成为行业的贡献者,而非利益的攫取者。[2020/8/11]
防御方案
我们先给出当时我们同步给我们客户的临时快速解决方案:
TradingView库bundles?目录下有个library开头的js?文件,检查这个?文件是否存在漏漏洞洞代码:getScript(urlParams.indicatorsFile)
火币日本计划于4月中旬起开始提供杠杆交易服务:3月26日,火币日本官方宣布,计划于4月中旬起开始提供杠杆交易服务,即日(26日)起用户可开始提前申请杠杆交易账户。据悉,该项服务起初仅支持BTC/JPY交易对,最大杠杆倍率为2倍。(Crypto.Wacth)[2020/3/27]
如果存在,临时解决?方案可以把代码改为:getScript(""),如有问题和我们反馈。
聪明的前端黑只要看了防御?案就会知道怎么去构造这个利用。
漏洞细节
TradingView是做K线展示最流行的JS库,在数字货币交易所、股票交易所等都有大量使用,所以影响目标很好找到。有个测试目标后,我们直接来看触发链接,随便找两个:
声音 | 火币大学于佳宁:远程办公使分布式商业新组织形态独具魅力:疫情当前,远程办公成为不少公司、机构和个人的选择。就此,火币大学校长于佳宁发表看法,他认为新冠病肺炎疫情使新零售、远程办公、在线协作等新业态和新组织方式实现了大规模应用,这种变化意义极为重大。
这绝不仅仅是应对疫情的权宜之计,更是加速各产业加速数字化转型、推进企业组织方式变革的曙光。在新科技时代,创新转型将成为企业生存刚需,以平台化、社群化、在线化的新型大规模协作方式将成为主流。这将助力区块链应用驶入快车道,区块链是大规模分布式协作的基础性技术,分布式协作是区块链的核心思想。
区块链不仅仅是技术的应用和创新,更是运营模式、组织方式,甚至是思维方式的创新。远程办公正是体验分布式商业新组织形态、洞察区块链应用与数字经济的时机。[2020/2/18]
通过分析,触发最小简化的链接是:
动态 | 火币日本站CEO陈海腾出任《人民日报海外版》日本月刊新理事:11月22日,火币日本站CEO陈海腾出任《人民日报海外版》日本月刊新理事。
当晚,陈海腾以火币日本站CEO的身份出席《人民日报海外版》日本月刊创刊8周年纪念会,并在会上接受藤原洋理事长颁发的聘书。
陈海腾先生表示,《人民日报海外版》日本月刊是海外华人的精神港湾,更是连接在日华人和中日两国的桥梁。希望以此次当选理事为契机,响应国家的区块链发展战略,依托火币在区块链方面的经验和技术,推动区块链技术与实体经济结合,加快火币国际化发展步伐。
藤原洋理事长对陈海腾先生加入理事会表示欢迎,他希望火币在专注于区块链技术的同时,也要利用新技术在海外媒体传播上做出更大贡献。[2019/11/23]
必须存在三个参数:
disabledFeaturesenabledFeaturesindicatorsFile
indicatorsFile很好理解,而且利用逻辑非常简单,代码所在位置:TradingView库bundles目录下有个library开头的js文件,触发点如下:
$.getScript非常的熟悉了,在jQuery时代就已经实战了多次,这个函数核心代码是:
看代码,可以动态创建一个script标签对象,远程加载我们提供的js文件:
https://xssor.io/s/x.js
那么,另外两个参数为什么是必要的?继续看代码:
这段代码在触发点之前,如果没有提供合法的disabledFeatures及enabledFeatures参数格式,这段代码就会因为报错而没法继续。很容易知道,合法参数格式只要满足这两个参数是JSON格式即可。所以,最终利用链接是:
漏洞威力
TradingView是做K线展示最流行的JS库,在数字货币交易所、股票交易所等都有大量使用,所以影响目标很好找到。有个测试目标后,我们直接来看触发链接,随便找两个:
为什么我们会说这个XSS可以绕过Cloudflare等防御机制?这个「等」其实还包括了浏览器内置的XSS防御机制。原因很简单,因为这是一个DOMXSS,DOMXSS的优点是不需要经过服务端,不用面对服务端的防御机制,同时不会在服务端留下日志。也正是因为这是DOMXSS且非常简单的触发方式,浏览器端的XSS防御机制也没触发。
然后这个XSS的触发域和目标重要业务所在的域几乎没有做什么分离操作,利用代码其实非常好写,比如直接基于$里的一堆方法就可以轻易获取目标平台的目标用户隐私,甚至偷偷发起一些高级操作。
有经验的攻击者,是知道如何大批量找到目标的,然后写出漂亮的利用代码。这里就不展开了。
最后做个补充:
前端黑里,需要特别去做好的安全有:XSS、CSRF、CORS、Cookie安全、HTTP响应头安全、第三方js安全、第三方JSON安全、HTTPS/HSTS安全、本地储存安全等。可以查看这篇近一步了解:
杂谈区块链生态里的前端黑:https://mp.weixin.qq.com/s/d_4gUc3Ay_He4fintNXw6Q
来源链接:mp.weixin.qq.com
本文来源于非小号媒体平台:
慢雾科技
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/3627037.html
漏洞风险安全
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
下一篇:
区块链照妖镜上线,你的对面是好是坏我一看就知道
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。