解剖一个没有感情的XSS 0day漏洞

区块链安全档案
区块链安全档案 机构得得号

Sep 24, 2018 隶属于曲速未来安全区,安全问题深度分析、一手威胁情报披露

摘要: 通用K线展示JS库TradingView存在XSS 0day漏洞,可绕过Cloudflare等防御机制。该漏洞被利用会导致用户帐号权限被盗、恶意操作等造成资产损失。

0day 漏洞预警

通用K线展示JS库TradingView存在XSS 0day漏洞,可绕过Cloudflare等防御机制。该漏洞被利用会导致用户帐号权限被盗、恶意操作等造成资产损失。但是也有提出防御方案,即TradingView库bundles目录下有个library开头的js文件,检查这个文件是否存在漏洞代码: getScript(urlParams.indicatorsFile),如果存在,临时解决方案可以把代码改为:getScript("")。

虽然之前就有对外发声并也修复了,不过隐去了存在漏洞的具体组件:TradingView。但是发现漏洞细节已经开始失控,特出此文,针对这个漏洞做个剖析。

如上所说的防御方案,聪明的前端黑只要看了防御⽅案就会知道怎么去构造这个利用。

漏洞细节

TradingView是做K线展示最流行的JS库,在数字货币交易所、股票交易所等都有大量使用,所以影响目标很好找到。有个测试目标后,我们直接来看触发链接,随便找两个:

通过分析,触发最小简化的链接是:

必须存在三个参数:

disabledFeatures、enabledFeatures、indicatorsFile;

indicatorsFile很好理解,而且利用逻辑非常简单,代码所在位置:TradingView 库bundles目录下有个library开头的js文件,触发点如下:

$.getScript非常的熟悉了,在jQuery时代就已经实战了多次,这个函数核心代码是:

看代码,可以动态创建一个 script 标签对象,远程加载我们提供的 js 文件:https://xssor.io/s/x.js

那么,另外两个参数(disabledFeatures与enabledFeatures)为什么是必要的?继续看代码(同样是library开头的那个js文件):

这段代码在触发点之前,如果没有提供合法的disabledFeatures及enabledFeatures参数格式,这段代码就会因为报错而没法继续。很容易知道,合法参数格式只要满足这两个参数是JSON格式即可。所以,最终利用链接是:

漏洞威力

为什么会说到这个XSS可以绕过Cloudflare等防御机制?这个“等”其实还包括了浏览器内置的XSS防御机制。原因很简单,因为这是一个DOM XSS,DOM XS的优点是不需要经过服务端,不用面对服务端的防御机制,同时不会在服务端留下日志(除非自己特别去处理)。也正是因为这是DOM XSS且非常简单的触发方式,浏览器端的XSS防御机制也没触发。

然后这个XSS的触发域和目标重要业务所在的域几乎没有做什么分离操作,利用代码其实非常好写,比如直接基于$里的一堆方法就可以轻易获取目标平台的目标用户隐私,甚至偷偷发起一些高级操作。

有经验的攻击者,是知道如何大批量找到目标的,然后就可以写出漂亮的利用代码。

(作者:区块链安全档案,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 区块链安全档案 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信