去中心化**市場平台 augur 被曝發現重大漏洞,黑客可據此向使用者傳送被篡改的網頁並騙取使用者代幣。幸好該漏洞被漏洞眾測平台 hackerone 的研究人員發現,目前 augur 官方已修補了漏洞。
這類漏洞被稱為框架劫持(frame-jacking),它操縱 html **來控制 augur 客戶端如何顯示外部(如伺服器)傳來的資料。被框架劫持的使用者將看到被黑客篡改過的頁面資訊,包括交易資料、錢包位址和市場**。由此,使用者將做出錯誤的決策,比如下注時向錯誤(黑客)的位址轉賬。
對於 thenextweb 的這一說法,國內安全團隊慢霧區在檢查 augur **後提出了更準確的說法。
慢霧區表示,這種攻擊依賴一些條件,比如攻擊者需要準備好乙個頁面鏈結(不是 augur 鏈結),並無論通過什麼手法能讓安裝了 augur 的使用者訪問到,然後使用者需要重啟 augur 應用,同時 augur 應用裡配置的 augur 節點位址被替換掉,由此形成後續的攻擊。其本質可以稱為 mitm(中間人)攻擊,即通過攔截正常的網路通訊資料,並進行資料篡改和嗅探,而通訊的雙方卻毫不知情。。
這類攻擊在網際網路中十分普遍。在區塊鏈中可出現在專案 ico 時,黑客通過網域名稱劫持、web 漏洞之類的手段來篡改專案官網上的收款位址,此後專案募集到的資金便落到黑客手中。
而這次 augur 之所以被盯上是因為,其客戶端的使用者介面(ui)採用了分布式儲存設計,使用者在本地電腦上儲存了與軟體操作相關的特定檔案,導致了使用者介面容易被黑客單點獲取並進行篡改。
這個漏洞看起來簡單,但在黑客未進行攻擊時難以被發現;又因涉及的利益重大(augur 當前市值 3.73 億美元,在**類加密數字貨幣中市場占有率超過 50% ),因此,augur 給研究員提供這類漏洞平均**三倍的獎勵。
WinRAR曝上古級重大漏洞
國外安全機構check point披露,著名解壓縮軟體winrar存在乙個上古級別的安全漏洞,該漏洞一旦被黑客利用,黑客就能將惡意程式植入使用者電腦的開機程式中,該漏洞在2005年便已經存在。winrar是windows平台上最為知名的解壓縮軟體,它能解壓縮rar zip 7z ace等多種壓縮格式...
移動139郵箱被曝出漏洞
繼前段時間網易郵箱鬧出漏洞風波之後,最近,139郵箱也被曝存在洩密漏洞,而且這項漏洞可以讓別人以最高許可權完整瀏覽你的郵箱記錄。近期,國內安全測試公司漏洞盒子發現,當手機開放熱點分享時,連線熱點的人可以隨意登入並操作熱點手機的移動郵箱和移動夢網。如今為方便使用者,許多郵箱都提供免密登陸功能,139郵...
Windows 被曝 0day 漏洞
安全研究人員在推特上公布了 windows 作業系統中的乙個漏洞詳情。該漏洞是乙個 本地許可權提公升 問題,可導致攻擊者將惡意 的訪問許可權從有限的 user 角色提公升至完全訪問 system 賬戶。cert cc 的工程師 will dormann 已證實該漏洞存在並在前天晚上發布 cert c...