幣圈新聞

TradingView組件存在缺陷,多個交易所被利用作釣魚攻擊

  DVP漏洞平台收到多名白帽子黑客提交的多個交易所相關漏洞,其中有知名交易所受到影響,這些漏洞都與TradingView組件有關。漏洞詳情顯示:在網站中使用存在漏洞的TradingView組件時,網站用戶存在被釣魚的風險,攻擊者可利用TradingView組件彈出偽造的身份驗證彈框,一旦用戶輸入賬號和密碼後,這些信息就會被發送到攻擊者服務器中,造成賬號密碼洩露,從而導致用戶的隱私安全以及資金安全都會受到一定的影響。經DVP安全團隊研究,臨時修復方案可將項目裡tv-chart.*.html文件中的代碼“if(!!urlParams.customCSS)”改為“if(!!urlParams.customCSS &&urlParams.customCSS.match( /^\/\w/))”,更改之後,TradingView組件的customCSS參數將只接收來自網站自身的相對路徑資源文件,若需要接收來自其他網站的資源文件,可更改match函數中的正則表達式來進行域名限定。

請關注 明日幣圈Facebook粉絲專頁 及 Telegram電報群 哦,是免費的。

Related posts

韓國交易所Bithumb被黑客盜取3000萬美元

CoinTmr 編輯部

南韓交易所CoinZest錯誤地贈送了價值530萬美元的加密貨幣

CoinTmr 編輯部

日本仍然是亞洲的“加密貨幣天堂”嗎? 可能並非如此

CoinTmr 編輯部

幣安交易所推出新功能

CoinTmr 編輯部

羅馬尼亞交易所CoinFlux首席執行官被捕,銀行戶口被凍結,客戶何去何從?

CoinTmr 編輯部

香港加密幣交易所 ANX於馬耳他註冊成立公司

CoinTmr 編輯部