昨日，慢雾区发布了《⼀个通杀绝大多数交易平台的 XSS 0day漏洞》，经过确认，该组件确实已经大量被用于各类交易系统中。针对这个漏洞，默安科技的安全专家团队迅速反应，目前“哨兵云”资产风险监控系统已全面更新针对TradingView组件存在的DOM型XSS漏洞的应急插件，并同步为客户提出快速解决方案及有效建议，以免该漏洞被攻击者恶意利用，造成难以挽回的损失。

什么是TradingView?

     TradingView是一个开源免费的K线图分析工具，有完善的API，能把K线展示最流行的JS库，被广泛运用到股票、期货、指数、外汇和比特币等的交易系统中常用的第三方组件。

图   TradingView的应用场景

关于TradingView DOM型XSS漏洞

      本次漏洞出现为DOM型XSS。漏洞在Trading View绘制K线时会加载一个本地可控参数的JS，攻击者根据这个可控参数注入并执行任意JS恶意代码，造成DOM型跨站脚本攻击。据分析，大量加密货币交易所将会受TradingView漏洞影响，该漏洞能导致平台用户登陆权限被窃取，从而造成用户财产被盗；同时，加密货币在使用通用组件时需要更加警惕，否则很容易导致因为通用组件的安全问题而产生经济损失。

图  模拟出的该XSS 0day漏洞被攻击者利用时的情景

哨兵云第一时间完成插件更新

      目前，默安科技的哨兵云资产风险监测系统已经完成插件更新，可以快速检测出各类交易系统是否存在TradingView组件DOM型XSS 0day漏洞风险，并同步给出快速解决方案建议。

图   哨兵云系统识别出TradingView DOM型XSS漏洞

哨兵云支持上千个最新漏洞扫描插件的实时更新，采用强大的爬虫及流量采集分析技术自动感知业务资产变更，深度检测应用漏洞、服务漏洞、运维漏洞等漏洞风险。每个插件经过上百次的自动化检测和漏报误报分析，做到漏洞检查零误报。

对于攻击者来说，客户的系统方方面面都存在脆弱性，这些方面不仅包括常见的操作系统漏洞、应用系统漏洞、弱口令、错误安全配置问题以及违反最小化原则开放的不必要的账号、服务、端口等，还包括客户的上下游企业、客户人员、员工无意识的数据泄露、物联网终端设备。

哨兵云面向企业提供优质的IT资产管理服务，自动化运维IT资产，自动发现管理资产，从应用漏洞、高危服务、运维风险以及外部威胁情报分析等多个维度持续监控安全风险。同时，哨兵云7*24小时的监控方式，可实时发现最新风险，并第一时间通过多种渠道实时同步安全状况。

图   哨兵云资产风险监控可视化大屏

如果您的交易系统使用过TradingView通用组件，可以联系我们辅助您检测系统是否受到此类漏洞影响，以免被攻击者恶意利用，造成品牌和经济损失。

附：哨兵云近期的更新列表

VULN_DB_20180918  

smtp弱口令漏洞

pop3弱口令漏洞
Adobe ColdFusion 反序列化漏洞（CVE-2017-3066）
Couchdb 垂直权限绕过漏洞（CVE-2017-12635）
RPCBind虚假udp请求反射DDOS漏洞
VULN_DB_20180919    

TradingView DOM型XSS