⼀个通杀绝⼤多数交易平台的 XSS 0day 漏洞

余弦@慢雾安全团队

慢雾区前后两位白帽黑客给我们反馈了这个 XSS 0day，第一位反馈的很早，但他自己把这个漏洞危害等级定义为低危，我们服务的交易所平台修复后，我们也没特别在意，直到第二位给我们再次提及这个 XSS。

昨天，我们开始对我们服务的所有客户下发这个预警，内容：

#0day 漏洞预警#

根据慢雾区匿名情报，通用 K 线展示 JS 库 TradingView 存在 XSS 0day 漏洞，可绕过 Cloudflare 等防御机制。该漏洞被利用会导致用户帐号权限被盗、恶意操作等造成资产损失。请确认是否使用到该组件，如有使用到请与我们联系。

当确定我们的客户修复后，我们开始对外发声，但隐去了存在漏洞的具体组件：TradingView。今天我们发现漏洞细节已经开始失控，特出此文，针对这个漏洞做个剖析。

防御方案

我们先给出当时我们同步给我们客户的临时快速解决方案：

TradingView 库 bundles 目录下有个 library 开头的 js ⽂文件，检查这个⽂件是否存在漏洞代码： getScript(urlParams.indicatorsFile)

如果存在，临时解决⽅方案可以把代码改为：getScript("")，如有问题和我们反馈。

聪明的前端黑只要看了防御⽅案就会知道怎么去构造这个利用。

漏洞细节

TradingView 是做 K 线展示最流行的 JS 库，在数字货币交易所、股票交易所等都有大量使用，所以影响目标很好找到。有个测试目标后，我们直接来看触发链接，随便找两个：

漏洞威力

为什么我们会说这个 XSS 可以绕过 Cloudflare 等防御机制？这个“等”其实还包括了浏览器内置的 XSS 防御机制。原因很简单，因为这是一个 DOM XSS，DOM XSS 的优点是不需要经过服务端，不用面对服务端的防御机制，同时不会在服务端留下日志（除非自己特别去处理）。也正是因为这是 DOM XSS 且非常简单的触发方式，浏览器端的 XSS 防御机制也没触发。

然后这个 XSS 的触发域和目标重要业务所在的域几乎没有做什么分离操作，利用代码其实非常好写，比如直接基于 $ 里的一堆方法就可以轻易获取目标平台的目标用户隐私，甚至偷偷发起一些高级操作。

有经验的攻击者，是知道如何大批量找到目标的，然后写出漂亮的利用代码。这里就不展开了。

最后做个补充：

前端黑里，需要特别去做好的安全有：XSS、CSRF、CORS、Cookie 安全、HTTP 响应头安全、第三方 js 安全、第三方 JSON 安全、HTTPS/HSTS 安全、本地储存安全等。可以查看这篇近一步了解：

杂谈区块链生态里的前端黑：
https://mp.weixin.qq.com/s/d_4gUc3Ay_He4fintNXw6Q

[更新]

有一个有趣的现象，我们针对我们的生态伙伴做了提前验证，顶级的交易所基本是不受影响的，他们的情报速度确实快了许多。顶级，由此可见一斑。