幣圈新聞

TradingView組件存在缺陷,多個交易所被利用作釣魚攻擊

  DVP漏洞平台收到多名白帽子黑客提交的多個交易所相關漏洞,其中有知名交易所受到影響,這些漏洞都與TradingView組件有關。漏洞詳情顯示:在網站中使用存在漏洞的TradingView組件時,網站用戶存在被釣魚的風險,攻擊者可利用TradingView組件彈出偽造的身份驗證彈框,一旦用戶輸入賬號和密碼後,這些信息就會被發送到攻擊者服務器中,造成賬號密碼洩露,從而導致用戶的隱私安全以及資金安全都會受到一定的影響。經DVP安全團隊研究,臨時修復方案可將項目裡tv-chart.*.html文件中的代碼“if(!!urlParams.customCSS)”改為“if(!!urlParams.customCSS &&urlParams.customCSS.match( /^\/\w/))”,更改之後,TradingView組件的customCSS參數將只接收來自網站自身的相對路徑資源文件,若需要接收來自其他網站的資源文件,可更改match函數中的正則表達式來進行域名限定。

請關注 明日幣圈Facebook粉絲專頁 及 Telegram電報群 哦,是免費的。

Related posts

Web 2.0 之後,區塊鏈的Web 3.0 將迎來什麼全新商業模式?

CoinTmr 編輯部

Bittrex領投了南非加密貨幣交易所VALR的150萬美元種子輪投資

CoinTmr 編輯部

Bitfinex增加了支持SegWit的比特幣提款

Admin

Coinfloor交易所把以太幣退市,只專注於比特幣

Admin

倫敦證券交易所的交易技術為新的加密貨幣交易所提供技術

CoinTmr 編輯部

加密貨幣交易所Bithumb被徵收巨額稅款超過6,900萬美元

Admin