TradingView组件存在缺陷,多个交易所可被利用实施钓鱼攻击
今日,DVP漏洞平台收到白帽子提交的多个交易所相关漏洞,其中有知名交易所受到影响,这些漏洞都与TradingView组件有关。漏洞详情显示:在网站中使用存在漏洞的TradingView组件时,网站用户存在被钓鱼的风险,攻击者可利用TradingView组件弹出伪造的身份验证弹框,一旦用户输入账号和密码后,这些信息就会被发送到攻击者服务器中,造成账号密码泄露,从而导致用户的隐私安全以及资金安全都会受到一定的影响。 经DVP安全团队研究,临时修复方案可将项目里tv-chart.*.html文件中的代码“if(!!urlParams.customCSS)”改为“if(!!urlParams.customCSS &&urlParams.customCSS.match(/^///w/))”,更改之后,TradingView组件的customCSS参数将只接收来自网站自身的相对路径资源文件,若需要接收来自其他网站的资源文件,可更改match函数中的正则表达式来进行域名限定。