DVP漏洞平台收到多名白帽子黑客提交的多個交易所相關漏洞,其中有知名交易所受到影響,這些漏洞都與TradingView組件有關。漏洞詳情顯示:在網站中使用存在漏洞的TradingView組件時,網站用戶存在被釣魚的風險,攻擊者可利用TradingView組件彈出偽造的身份驗證彈框,一旦用戶輸入賬號和密碼後,這些信息就會被發送到攻擊者服務器中,造成賬號密碼洩露,從而導致用戶的隱私安全以及資金安全都會受到一定的影響。經DVP安全團隊研究,臨時修復方案可將項目裡tv-chart.*.html文件中的代碼“if(!!urlParams.customCSS)”改為“if(!!urlParams.customCSS &&urlParams.customCSS.match( /^\/\w/))”,更改之後,TradingView組件的customCSS參數將只接收來自網站自身的相對路徑資源文件,若需要接收來自其他網站的資源文件,可更改match函數中的正則表達式來進行域名限定。
請關注 明日幣圈Facebook粉絲專頁 及 Telegram電報群 哦,是免費的。
