内容简介:XSS漏洞是一个跨域漏洞,一旦用户流量被劫持就十分危险,黑客将用户的JS文件替换成自己修改过的,就可以为所欲为。区块链的各类安全事故中,作为加密货币流通场所的数字资产交易平台一直是重灾区,API接口遭黑客攻击、用户账户被盗等安全事件频出。这一次,黑客盯上了展示行情的第三方组件。昨日,多家区块链安全平台预警,一个第三方组件存在名为XSS 0day的漏洞。降维安全实验室预警时指明,该组件为TradingView,供交易平台展示行情使用。
XSS漏洞是一个跨域漏洞,一旦用户流量被劫持就十分危险,黑客将用户的JS文件替换成自己修改过的,就可以为所欲为。
区块链的各类安全事故中,作为加密货币流通场所的数字资产交易平台一直是重灾区,API接口遭黑客攻击、用户账户被盗等安全事件频出。这一次,黑客盯上了展示行情的第三方组件。
昨日,多家区块链安全平台预警,一个第三方组件存在名为XSS 0day的漏洞。降维安全实验室预警时指明,该组件为TradingView,供交易平台展示行情使用。
公开信息显示,多家数字资产交易平台使用了该组件,包括币安、Bitfinex、火币Pro和Bithumb等这类大型知名平台。
慢雾科技预警称,该漏洞如被恶意利用,会导致数字货币交易所等平台的用户账号权限被盗、恶意操作等资产损失。
所幸,这一漏洞预警已被区块链安全平台下发给TradingView公司和涉及到的一些交易所。但安全人员透露,仍不乏影响力较大的交易平台轻视了该漏洞。
交易所行情展示组件藏漏洞
如果你多打开一些交易平台的行情页面,你就会发现,不少行情展示区的左下角都会显示,行情数据和表格来自TradingView。
据公开信息显示,TradingView本身是全球最大的图表技术分析交流社区,后来由TradingView公司开发成为行情展示第三方组件工具,不但大部分数字资产交易平台在使用,连证券和期货这些传统金融交易平台也是它的用户。
蜂巢财经查询后发现,在日交易量排名前十的交易所中,使用TradingView展示行情的包括币安、Bitfinex、火币和Bithumb等知名数字资产交易平台。
这一次,被区块链安全公司视作“高危漏洞”的XSS 0day就藏在这个与用户天天见面的 工具 里。而这一漏洞被定性为“高危”,经历近半个月的时间。
据慢雾科技消息,前后有两位白帽黑客反馈了XSS 0day漏洞。9月4日,第一位白帽黑客向慢雾科技反馈该漏洞,并把这个漏洞危害等级定义为“低危”。在相关交易所平台修复后,慢雾科技也没特别在意,直到9月18日,第二位白帽黑客和他们再次提及了这个漏洞后,他们开始对所有用户下发XSS漏洞预警。
“降维安全也在两个礼拜之前就关注到这个漏洞,并且通过内部通知流程,陆续通知合作方修复。”降维安全实验室的运营负责人孙越接受蜂巢财经采访表示,已经有白帽黑客在Github上向TradingView官方报送了此漏洞,目前所有使用该组件且没有针对存在漏洞的JS文件(JavaScript语言写就的文件)做修补操作的交易所,都存在这个漏洞。”
从事区块链技术开发的Frozen表示,XSS漏洞是一个跨域漏洞,一旦用户流量被劫持就十分危险,黑客将用户的JS文件替换成自己修改过的,就可以为所欲为。
慢雾科技和降维安全实验室都提到,XSS漏洞一旦被恶意利用,黑客便可以获得用户的登陆权限,恶意操纵将带来资产损失。
已出现用户账号被劫持情况
XSS漏洞如此严重,为何会长期存在于交易所的TradingView组件中?
对此,孙越解释,主要原因在于TradingView一直属于一个第三方前端框架,一般条件下,它的安全不太引人关注。但是一旦使用它的是需要保障高安全性的系统,存在漏洞就会造成巨大危害。
“目前我们并没有收到直接因为XSS攻击而造成财产损失的案例,但已经有多起因为这个漏洞而劫持用户账户并进行操作的情况发生。”孙越说,早期也有类似的漏洞发生,但是如此大范围的存在于数字货币交易所场景中还是第一次。
孙越强调,此次安全事件的责任方主要在TradingView公司,但交易所在选择第三方库时也应注意其安全性,需要及时关注官方的安全通告和第三方发布的安全预警。
目前已有部分交易所对此漏洞进行了修复,降维安全实验室也在第一时间紧急为其客户推送了修复方案,“但仍有不少交易所轻视这个问题,其中不乏有一些影响力较大的交易所。”对于具体包括哪些大交易所,孙越表示不方便透露。
使用TradingView的火币Pro更早时间发现了这一问题,相关人员告诉蜂巢财经,他们在8月份时就发现了该漏洞,已经进行修复。
用户要养成定期修改密码的习惯
但凡是计算机程序,都会存在BUG,区块链安全问题从来没有终极解决办法。对于如何防范类似安全事故发生,孙越认为,第三方公司、交易平台和用户应该各自为自己的产品、客户和资产安全保持警醒。
孙越说,TradingView公司在代码发布前应该尽量做完善的代码审计,避免这种低级错误再发生。
而交易平台要慎重选择第三方库,保持对第三方库安全事件的关注,同时要与安全公司有良好的沟通,及时了解这些信息。除此之外,交易平台安全机制的加强也可以一定程度上保护用户,缓解漏洞危害。
对于广大的交易平台的使用者,孙越提醒,用户应该选择那些积极进行漏洞修复的平台进行交易,养成良好的安全习惯,“定期修改密码,在离开交易平台网站后,应从交易所网站手动下线,必要时手动清空cookie,这也能在一定程度上缓解被黑客攻击的风险。”
区块链技术开发者Frozen也提示,用户不要轻易连接不明WiFi,不要轻易相信搜索引擎给的某些所谓官网链接,更不要轻易点开他人给的链接。
来源:蜂巢财经News
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 线上“财富”遭觊觎 黑客盯上区块链代码漏洞
- 黑客盯上区块链代码漏洞 虚拟货币成偷盗新目标
- 你忽略的往往是最危险的!黑客已经盯上它!
- “勒索病毒”卷土重来 这次盯上了微信支付!
- 追剧有险!黑客盯上《权力的游戏》第八季:各种勒索诈骗
- 微软:黑客盯上欧洲智库和非营利组织 欲渗透政界
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
PHP for the World Wide Web, Second Edition (Visual QuickStart Gu
Larry Ullman / Peachpit Press / 2004-02-02 / USD 29.99
So you know HTML, even JavaScript, but the idea of learning an actual programming language like PHP terrifies you? Well, stop quaking and get going with this easy task-based guide! Aimed at beginning ......一起来看看 《PHP for the World Wide Web, Second Edition (Visual QuickStart Gu》 这本书的介绍吧!
