VIEW:?個通殺絕大多數交易平臺的 XSS 0day 漏洞

文章來源：慢霧科技作者：慢霧安全團隊

引子

慢霧區前后兩位白帽黑客給我們反饋了這個XSS0day，第一位反饋的很早，但他自己把這個漏洞危害等級定義為低危，我們服務的交易所平臺修復后，我們也沒特別在意，直到第二位給我們再次提及這個XSS。

昨天，我們開始對我們服務的所有客戶下發這個預警，內容：

0day漏洞預警

根據慢霧區匿名情報，通用K線展示JS庫TradingView存在XSS0day漏洞，可繞過Cloudflare等防御機制。該漏洞被利用會導致用戶帳號權限被盜、惡意操作等造成資產損失。請確認是否使用到該組件，如有使用到請與我們聯系。

當確定我們的客戶修復后，我們開始對外發聲，但隱去了存在漏洞的具體組件：TradingView。今天我們發現漏洞細節已經開始失控，特出此文，針對這個漏洞做個剖析。

歐洲區塊鏈銀行Bank Frick為客戶推出數字資產質押服務:金色財經報道，歐洲區塊鏈銀行Bank Frick為客戶推出數字資產質押服務。Bank Frick 區塊鏈銀行業務高級關系經理 Jonas Gantenbein 表示，質押涉及將一定數量的數字資產作為證券持有，以驗證區塊鏈網絡中的交易。因此，質押通過提供更多驗證器來驗證交易并保證網絡的完整性，有助于區塊鏈網絡的安全性。Bank Frick保持對委托加密貨幣的完全控制，所有質押活動都是自我托管（非托管）的，這意味著Bank Frick保持對委托加密貨幣的唯一和完全控制。[2023/2/15 12:08:48]

防御方案

我們先給出當時我們同步給我們客戶的臨時快速解決方案：

《安徽日報》首發數字藏品“AI向新”:金色財經報道，據《安徽日報》官方公眾號，《安徽日報》將于10月24日10時24分首發數字藏品“AI向新”，總計1024份，其中在安徽日報客戶端發行500份，在科大訊飛星晝數字藏品平臺發行524份。據悉，“AI向新”數字藏品由安徽日報發行，是安徽日報積極擁抱數字經濟，探索“元宇宙”場景開發，用更新更潮的方式講好安徽故事，為報業發展進行數字化賦能的全新嘗試。[2022/10/23 16:36:07]

TradingView庫bundles?目錄下有個library開頭的js?文件，檢查這個?文件是否存在漏漏洞洞代碼：getScript(urlParams.indicatorsFile)

如果存在，臨時解決?方案可以把代碼改為：getScript("")，如有問題和我們反饋。

美聯儲布拉德：數據表明通脹難以遏制，需要繼續“前置加息”:金色財經報道，美國圣路易斯聯儲主席布拉德（James Bullard）周五表示，一份“比預期更熱”的9月通脹報告并不一定意味著美聯儲需要的利率比官員們在最近一次政策會議上預測的更高，盡管它確實需要通過75個基點的更大規模加息來繼續“前置加息”。

Bullard在接受采訪時表示，周四公布的美國9月份消費者物價指數數據顯示，通貨膨脹已經變得“惡性”且難以遏制，因此，“我們仍然快速行動是有道理的”。此外，Bullard稱，盡管現在對12月議息會議的舉措進行預估還為時過早，但如果是今天，會繼續在12月加息75個基點。他也表示，進一步的加息情況將視未來數據而定。

如果美聯儲今年再進行兩次75個基點的加息，其政策利率在2022年底將在4.50%-4.75%的范圍內。（路透社）[2022/10/15 14:28:20]

聰明的前端黑只要看了防御?案就會知道怎么去構造這個利用。

Genesis市場洞察主管Noelle Acheson離職:金色財經消息，加密貸款機構Genesis市場洞察主管Noelle Acheson已離職。據LinkedIn信息顯示，Noelle Acheson于2021年6月加入Genesis，此前曾在CoinDesk工作超過4年時間。

此前報道，Genesis于8月17日宣布將裁員20%，且其CEO已離職。（彭博社）[2022/9/1 13:01:33]

漏洞細節

TradingView是做K線展示最流行的JS庫，在數字貨幣交易所、股票交易所等都有大量使用，所以影響目標很好找到。有個測試目標后，我們直接來看觸發鏈接，隨便找兩個：

通過分析，觸發最小簡化的鏈接是：

必須存在三個參數：

disabledFeaturesenabledFeaturesindicatorsFile

indicatorsFile很好理解，而且利用邏輯非常簡單，代碼所在位置：TradingView庫bundles目錄下有個library開頭的js文件，觸發點如下：

$.getScript非常的熟悉了，在jQuery時代就已經實戰了多次，這個函數核心代碼是：

看代碼，可以動態創建一個script標簽對象，遠程加載我們提供的js文件：

https://xssor.io/s/x.js

那么，另外兩個參數為什么是必要的？繼續看代碼：

這段代碼在觸發點之前，如果沒有提供合法的disabledFeatures及enabledFeatures參數格式，這段代碼就會因為報錯而沒法繼續。很容易知道，合法參數格式只要滿足這兩個參數是JSON格式即可。所以，最終利用鏈接是：

漏洞威力

TradingView是做K線展示最流行的JS庫，在數字貨幣交易所、股票交易所等都有大量使用，所以影響目標很好找到。有個測試目標后，我們直接來看觸發鏈接，隨便找兩個：

為什么我們會說這個XSS可以繞過Cloudflare等防御機制？這個「等」其實還包括了瀏覽器內置的XSS防御機制。原因很簡單，因為這是一個DOMXSS，DOMXSS的優點是不需要經過服務端，不用面對服務端的防御機制，同時不會在服務端留下日志。也正是因為這是DOMXSS且非常簡單的觸發方式，瀏覽器端的XSS防御機制也沒觸發。

然后這個XSS的觸發域和目標重要業務所在的域幾乎沒有做什么分離操作，利用代碼其實非常好寫，比如直接基于$里的一堆方法就可以輕易獲取目標平臺的目標用戶隱私，甚至偷偷發起一些高級操作。

有經驗的攻擊者，是知道如何大批量找到目標的，然后寫出漂亮的利用代碼。這里就不展開了。

最后做個補充：

前端黑里，需要特別去做好的安全有：XSS、CSRF、CORS、Cookie安全、HTTP響應頭安全、第三方js安全、第三方JSON安全、HTTPS/HSTS安全、本地儲存安全等。可以查看這篇近一步了解：

雜談區塊鏈生態里的前端黑：https://mp.weixin.qq.com/s/d_4gUc3Ay_He4fintNXw6Q

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

慢霧科技

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3627037.html

漏洞風險安全

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

下一篇：

區塊鏈照妖鏡上線，你的對面是好是壞我一看就知道

Tags：DIN區塊鏈VIEWRADaladdingalaxy玩區塊鏈掙的錢合法嗎VersoViewrad幣團隊

火必