DVP漏洞平台收到白帽子提交的多个交易所相关漏洞,其中有知名交易所受到影响,这些漏洞都与TradingView组件有关。DVP安全团队目前已研究出临时修复方案。
风险提示及免责条款
市场有风险,投资需谨慎。本文不构成个人投资建议,也未考虑到个别用户特殊的投资目标、财务状况或需要。用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
安全公司:TradingView组件存在缺陷,多个交易所可被利用实施钓鱼攻击
小葱注:经DVP安全团队研究,临时修复方案可将项目里tv-chart.*.html文件中的代码“if(!!urlParams.customCSS)”改为“if(!!urlParams.customCSS &&urlParams.customCSS.match(/^\/\w/))”,更改之后,TradingView组件的customCSS参数将只接收来自网站自身的相对路径资源文件,若需要接收来自其他网站的资源文件,可更改match函数中的正则表达式来进行域名限定。
风险提示及免责条款
市场有风险,投资需谨慎。本文不构成个人投资建议,也未考虑到个别用户特殊的投资目标、财务状况或需要。用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。