一 漏洞概述

1.1简介

      TradingView Charting Library 是一个开源免费的K线图分析工具，有完善的API。 支持普通json数据的UDF，也有支持websocket的JSAPI，

大部分数字货币交易所均使用该组件库用作K线分析工具。

1.2漏洞复现

     加载 K 线，观察请求，寻找 tv-chart 开头的请求并提取出来。

可以看到请求文件是 tv-chart.630b704a2b9d0eaf1593.html，该文件的 IndicatorsFile参数可控，可注入任意 js 代码。

可以看到，成功的执行了 js 代码

二 影响范围

根据 ZoomEye 网络空间搜索引擎对 tradingview 的搜索结果，共找到 283 条历史记录。

 

三 修复建议

1.临时修改代码：找到代码 $.getScript(urlParams.indicatorsFile)，将indicatorsFile 参数过滤。

2.建议启用httponly，缓解危害。

3.等待官方更新

2.技术业务咨询：

知道创宇技术业务咨询热线：400-060-9587（政府、国有企业）

                                                028-68360638（互联网企业）

 

四 相关链接

参考链接:

https://www.tradingview.com/HTML5-stock-forex-bitcoin-charting-library/