ADI:?个通杀绝大多数交易平台的 XSS 0day 漏洞_VIEW

文章来源：慢雾科技作者：慢雾安全团队

引子

慢雾区前后两位白帽黑客给我们反馈了这个XSS0day，第一位反馈的很早，但他自己把这个漏洞危害等级定义为低危，我们服务的交易所平台修复后，我们也没特别在意，直到第二位给我们再次提及这个XSS。

昨天，我们开始对我们服务的所有客户下发这个预警，内容：

0day漏洞预警

根据慢雾区匿名情报，通用K线展示JS库TradingView存在XSS0day漏洞，可绕过Cloudflare等防御机制。该漏洞被利用会导致用户帐号权限被盗、恶意操作等造成资产损失。请确认是否使用到该组件，如有使用到请与我们联系。

当确定我们的客户修复后，我们开始对外发声，但隐去了存在漏洞的具体组件：TradingView。今天我们发现漏洞细节已经开始失控，特出此文，针对这个漏洞做个剖析。

Aavegotchi开发商2022财年收入增长200%:5月29日消息，Web3 游戏 Aavegotchi 开发商 PixelCraft Studios2022 财年收入增长 200% 至 1130 万美元，但其费用飙升 609% 至 1080 万美元，利润同比下降 82% 至 57.4 万美元。[2023/5/29 9:48:56]

防御方案

我们先给出当时我们同步给我们客户的临时快速解决方案：

TradingView库bundles?目录下有个library开头的js?文件，检查这个?文件是否存在漏漏洞洞代码：getScript(urlParams.indicatorsFile)

如果存在，临时解决?方案可以把代码改为：getScript("")，如有问题和我们反馈。

FTX寻求在破产案中追回40亿美元:金色财经报道，破产的加密货币交易所 FTX 周三在一份法庭文件中表示，希望从破产的 Genesis Global Capital 收回近 40 亿美元的资金。该动议称，Genesis 在 11 月 FTX 破产前的几周内“大部分偿还”了向 FTX 附属实体 Alameda Research 提供的近 80 亿美元贷款。根据周三提交的文件，在多家 FTX 公司申请破产前的 90 天内， Alameda Research 向 Genesis 偿还了 18 亿美元的贷款，并承诺向 Genesis 提供 2.73 亿美元。Genesis 还从 FTX 又撤回了 16 亿美元，而 Genesis Global Capital International 同期又撤回了 2.13 亿美元。[2023/5/4 14:41:19]

聪明的前端黑只要看了防御?案就会知道怎么去构造这个利用。

CHZ（Chiliz）上涨触及0.179美元，24小时涨幅27.38%:金色财经报道，行情数据显示，CHZ（Chiliz）上涨触及 0.179 美元，现报价 0.177 美元，24 小时涨幅 27.38%。行情波动较大，请做好风险控制。

此前报道，Chiliz开发的EVM兼容链已产生创世区块。[2023/2/8 11:54:34]

漏洞细节

TradingView是做K线展示最流行的JS库，在数字货币交易所、股票交易所等都有大量使用，所以影响目标很好找到。有个测试目标后，我们直接来看触发链接，随便找两个：

通过分析，触发最小简化的链接是：

必须存在三个参数：

比特币成为eToro上持有最多的加密资产:7月22日消息，比特币在2022年首次击败Cardano，重新成为全球eToro平台上最广泛持有的加密资产。与此同时，相对于比特币，罗马尼亚投资者仍然更青睐于Cardano。尽管2022年市场陷入困境，但持有比特币的eToro用户数量在第二季度增长了9%，这表明有韧性的散户投资者仍然长期看好比特币。Cardano的持有量小幅下降不到1%，在eToro平台上持有最多的10种加密资产中排名第二。

在罗马尼亚，Cardano仍然是持有最多的加密资产，而自2022年第一季度末以来，持有比特币的用户数量增长了11%，超过以太坊成为第二名。

（Nine O’Clock）[2022/7/22 2:32:04]

disabledFeaturesenabledFeaturesindicatorsFile

indicatorsFile很好理解，而且利用逻辑非常简单，代码所在位置：TradingView库bundles目录下有个library开头的js文件，触发点如下：

$.getScript非常的熟悉了，在jQuery时代就已经实战了多次，这个函数核心代码是：

看代码，可以动态创建一个script标签对象，远程加载我们提供的js文件：

https://xssor.io/s/x.js

那么，另外两个参数为什么是必要的？继续看代码：

这段代码在触发点之前，如果没有提供合法的disabledFeatures及enabledFeatures参数格式，这段代码就会因为报错而没法继续。很容易知道，合法参数格式只要满足这两个参数是JSON格式即可。所以，最终利用链接是：

漏洞威力

TradingView是做K线展示最流行的JS库，在数字货币交易所、股票交易所等都有大量使用，所以影响目标很好找到。有个测试目标后，我们直接来看触发链接，随便找两个：

为什么我们会说这个XSS可以绕过Cloudflare等防御机制？这个「等」其实还包括了浏览器内置的XSS防御机制。原因很简单，因为这是一个DOMXSS，DOMXSS的优点是不需要经过服务端，不用面对服务端的防御机制，同时不会在服务端留下日志。也正是因为这是DOMXSS且非常简单的触发方式，浏览器端的XSS防御机制也没触发。

然后这个XSS的触发域和目标重要业务所在的域几乎没有做什么分离操作，利用代码其实非常好写，比如直接基于$里的一堆方法就可以轻易获取目标平台的目标用户隐私，甚至偷偷发起一些高级操作。

有经验的攻击者，是知道如何大批量找到目标的，然后写出漂亮的利用代码。这里就不展开了。

最后做个补充：

前端黑里，需要特别去做好的安全有：XSS、CSRF、CORS、Cookie安全、HTTP响应头安全、第三方js安全、第三方JSON安全、HTTPS/HSTS安全、本地储存安全等。可以查看这篇近一步了解：

杂谈区块链生态里的前端黑：https://mp.weixin.qq.com/s/d_4gUc3Ay_He4fintNXw6Q

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

慢雾科技

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3627037.html

漏洞风险安全

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

下一篇：

区块链照妖镜上线，你的对面是好是坏我一看就知道

标签：ADIDINRADVIEWRadio HeroREDINU价格Trade.WinLakeViewMeta

币安下载热门资讯