買以太坊 買以太坊
Ctrl+D 買以太坊
ads

cardano:?個通殺絕大多數交易平臺的 XSS 0day 漏洞_EvoCardano

Author:

Time:1900/1/1 0:00:00

文章來源:慢霧科技作者:慢霧安全團隊

引子

慢霧區前后兩位白帽黑客給我們反饋了這個XSS0day,第一位反饋的很早,但他自己把這個漏洞危害等級定義為低危,我們服務的交易所平臺修復后,我們也沒特別在意,直到第二位給我們再次提及這個XSS。

昨天,我們開始對我們服務的所有客戶下發這個預警,內容:

0day漏洞預警

根據慢霧區匿名情報,通用K線展示JS庫TradingView存在XSS0day漏洞,可繞過Cloudflare等防御機制。該漏洞被利用會導致用戶帳號權限被盜、惡意操作等造成資產損失。請確認是否使用到該組件,如有使用到請與我們聯系。

當確定我們的客戶修復后,我們開始對外發聲,但隱去了存在漏洞的具體組件:TradingView。今天我們發現漏洞細節已經開始失控,特出此文,針對這個漏洞做個剖析。

幣安的俄羅斯盧布月交易量下降了83%以上:金色財經報道,據報道,過去兩年,幣安交易所的俄羅斯盧布(RUB)月交易量下降了83%以上。與此同時幣安上烏克蘭格里夫納(UAH)的交易量下降幅度甚至超過了盧布的交易量。俄羅斯和烏克蘭之間持續不斷的沖突很可能是造成這種下降的原因。

加密貨幣研究公司Kaiko今天早些時候在Twitter上報告了幣安上RUB和UAH交易量的下降。根據Kaiko收集的交易數據,盧布的月交易量從2021年的5.07億美元降至今年的8500萬美元,下降了83.2%。俄羅斯盧布在幣安的交易量在2023年中期跌破1億美元大關,并持續下滑,并于今年4月觸及兩年低點。有趣的是,2022年2月俄羅斯與烏克蘭沖突升級后,盧布月度交易量大幅飆升。盧布月度交易量一度飆升至8億美元。[2023/9/7 13:24:12]

防御方案

Messari:Cardano網絡上的日均dApp交易量連續三個季度攀升:金色財經報道,Messari發布2023年第二季度Cardano報告。報告顯示,Cardano網絡上的日均dApp交易量連續三個季度攀升。Cardano第二季度DApp活躍度增長49.0%,日均交易量為57,900筆。Minswap和各種新的dApp為整體增長做出了貢獻。Cardano自動做市商(AMM)Minswap是第二季度交易量最受歡迎的卡爾達諾dApp,5月和6月每月處理100萬筆交易,環比增長167.5%。

此外,以美元計價的Cardano DeFi TVL較上一季度增長9.7%,年初至今增長198.6%。Cardano在DeFi排名中也有所上升,到2023年,所有鏈上的TVL從第34位上升到第21位。第二季度交易活動有所增加,日均成交量環比增長1.9%,從67,500筆增至68,800筆。[2023/8/6 16:20:53]

我們先給出當時我們同步給我們客戶的臨時快速解決方案:

首爾檢方:Do Kwon和Terraform Labs在瑞士銀行Sygnum的賬戶上還剩數十億韓元:金色財經報道,韓國首爾檢方表示,Terra 聯合創始人 Do Kwon 和 Terraform Labs(TFL)在瑞士虛擬資產銀行 Sygnum 的賬戶還剩數十億韓元。4 月 25 日,首爾南部地方檢察廳金融和證券犯罪聯合調查組表示,正在繼續追蹤 LFG(Luna Foundation Guard)擁有的比特幣,但其中一些已轉換為現金并存儲在 Signum 賬戶中。

此前報道,今年 2 月份,據美國證券交易委員會(SEC)文件第 172 條顯示,Do Kwon 與他創立的公司 Terraform Labs 轉移超過 1 萬枚 BTC,并通過一家瑞士銀行將其換成現金。自 2022 年 6 月以來,該機構已經從該瑞士銀行提取超過 1 億美元的法幣。[2023/4/25 14:25:40]

TradingView庫bundles?目錄下有個library開頭的js?文件,檢查這個?文件是否存在漏漏洞洞代碼:getScript(urlParams.indicatorsFile)

巴哈馬不再反對由特拉華州法官處理部分FTX重組案:11月22日消息,據彭博社援引一份法庭文件報道,巴哈馬法院官員不再反對將FTX重組案件的一部分移交給特拉華州的美國法院。清算人保留反對FTX高管在特拉華州案件中提出的任何行動的權利。

此前報道,11月16日,根據美國法庭文件顯示,位于巴哈馬的FTX清算人拒絕承認美國破產程序有效性。FTX和130家附屬公司于11月11日在美國申請破產,估計有100萬客戶和其他投資者面臨數十億美元的總損失,但FTX巴哈馬子公司FTXDigitalMarkets將首先進入清算程序,不過其法院指定的清算人表示,巴哈馬的FTX清算人或將影響FTX希望在美國破產重組的計劃。[2022/11/22 7:54:52]

如果存在,臨時解決?方案可以把代碼改為:getScript(""),如有問題和我們反饋。

聰明的前端黑只要看了防御?案就會知道怎么去構造這個利用。

漏洞細節

TradingView是做K線展示最流行的JS庫,在數字貨幣交易所、股票交易所等都有大量使用,所以影響目標很好找到。有個測試目標后,我們直接來看觸發鏈接,隨便找兩個:

通過分析,觸發最小簡化的鏈接是:

必須存在三個參數:

disabledFeaturesenabledFeaturesindicatorsFile

indicatorsFile很好理解,而且利用邏輯非常簡單,代碼所在位置:TradingView庫bundles目錄下有個library開頭的js文件,觸發點如下:

$.getScript非常的熟悉了,在jQuery時代就已經實戰了多次,這個函數核心代碼是:

看代碼,可以動態創建一個script標簽對象,遠程加載我們提供的js文件:

https://xssor.io/s/x.js

那么,另外兩個參數為什么是必要的?繼續看代碼:

這段代碼在觸發點之前,如果沒有提供合法的disabledFeatures及enabledFeatures參數格式,這段代碼就會因為報錯而沒法繼續。很容易知道,合法參數格式只要滿足這兩個參數是JSON格式即可。所以,最終利用鏈接是:

漏洞威力

TradingView是做K線展示最流行的JS庫,在數字貨幣交易所、股票交易所等都有大量使用,所以影響目標很好找到。有個測試目標后,我們直接來看觸發鏈接,隨便找兩個:

為什么我們會說這個XSS可以繞過Cloudflare等防御機制?這個「等」其實還包括了瀏覽器內置的XSS防御機制。原因很簡單,因為這是一個DOMXSS,DOMXSS的優點是不需要經過服務端,不用面對服務端的防御機制,同時不會在服務端留下日志。也正是因為這是DOMXSS且非常簡單的觸發方式,瀏覽器端的XSS防御機制也沒觸發。

然后這個XSS的觸發域和目標重要業務所在的域幾乎沒有做什么分離操作,利用代碼其實非常好寫,比如直接基于$里的一堆方法就可以輕易獲取目標平臺的目標用戶隱私,甚至偷偷發起一些高級操作。

有經驗的攻擊者,是知道如何大批量找到目標的,然后寫出漂亮的利用代碼。這里就不展開了。

最后做個補充:

前端黑里,需要特別去做好的安全有:XSS、CSRF、CORS、Cookie安全、HTTP響應頭安全、第三方js安全、第三方JSON安全、HTTPS/HSTS安全、本地儲存安全等。可以查看這篇近一步了解:

雜談區塊鏈生態里的前端黑:https://mp.weixin.qq.com/s/d_4gUc3Ay_He4fintNXw6Q

來源鏈接:mp.weixin.qq.com

本文來源于非小號媒體平臺:

慢霧科技

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3627037.html

漏洞風險安全

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

下一篇:

區塊鏈照妖鏡上線,你的對面是好是壞我一看就知道

Tags:FTXcardanoDANCARDMEEB Vault (NFTX)EvoCardanoDANA價格Cardstack

火幣下載
ASH:Zcash的“十月圍城”:從隱私幣典范到“被死亡”_CAS

人在家中坐,禍從天外來。這話用來形容Zcash的近日運勢或許正合適。在上周一個區塊鏈峰會上,德勤、安永的專家在評價Zcash時可謂不留情面.

1900/1/1 0:00:00
AIR:BNB不斷創造歷史新高,HT短期最佳買點將現?_超級比特幣SBTC

正式動筆之前先看下這張熱力圖,昨天晚間BSV的一波狂暴上漲毫無疑問成為了市場的絕對焦點,澳本聰一波關注比特幣白皮書版權的騷操作讓市場又一次體驗到了黑天鵝事件的沖擊力.

1900/1/1 0:00:00
NEW:「去中心化交易所」混入 EOS 假幣,用戶損失數萬美元_WDEX

由于出現了一個嚴重的安全漏洞,10億個EOS假幣流入了去中心化的代幣交易平臺。最終,攻擊者直接從用戶手中竊取了價值5.8萬美元的加密貨幣.

1900/1/1 0:00:00
ICE:趣說安全多方計算:如何用密碼學玩轉暗軍棋游戲?_LIC

提起軍棋游戲,相信不少人兒時都玩過。軍棋游戲的玩法有三種:第一種是明棋,雙方棋子都朝上擺放進行游戲;第二種是翻棋,棋子朝下擺放,雙方依次翻開進行游戲;第三種,就是今天我們要特別說的:暗棋.

1900/1/1 0:00:00
MCA:報告:今年第二季度加密貨幣挖礦惡意軟件攻擊量增長了 86%_加密貨幣市場規模多大

據CCN9月26日報道,截止到2018年上半年,從去年第四季度開始涌現的加密貨幣挖礦惡意軟件的攻擊量在持續增長.

1900/1/1 0:00:00
COIN:起底「黑暗幽靈」戰隊:做空幣價,打劫過所有頭部交易所,除了幣安_COI

7月21日開始,FCoin的平臺幣FT價格大跌,一日跌幅超過14%。而FCoin的安全團隊監測發現,有一批僵尸賬戶突然激活,出現「均勻交易」,每5秒鐘進行一次拋單、吃單的操作,拼命打壓價格.

1900/1/1 0:00:00
ads