鏈聞消息,成都鏈安威脅情報系統預警,ApacheTomcat遠程代碼執行存在漏洞,部分交易所仍然在使用此web服務器,黑客可利用此漏洞進行犯罪入侵,我們建議使用相關軟件的交易所及時自查并進行修復。漏洞威脅:高。受影響版本:ApacheTomcat10.0.0-M1至10.0.0-M1、ApacheTomcat9.0.0.M1至9.0.34、ApacheTomcat8.5.0至8.5.54、ApacheTomcat7.0.0至7.0.103。漏洞描述:1)?攻擊者可以通過此漏洞控制服務器以及計算機上的文件;2)?服務器將會被配置FileStore和PersistenceManager;3)?PersistenceManager配置有sessionAttributeValueClassNameFilter=「null」或不嚴謹的過濾器,允許攻擊者執行反序列化操作;4)?攻擊者知道從FileStore使用的存儲位置到攻擊者可以控制的文件的相對文件路徑;然后,使用特殊請求,攻擊者將能夠在其控制下通過反序列化文件來觸發遠程代碼執行。成都鏈安安全團隊建議根據官方提供的修復方案進行修復,修復方案如下:ApacheTomcat10.0.0-M1至10.0.0-M1版本建議升級到ApacheTomcat10.0.0-M5或更高版本;ApacheTomcat9.0.0.M1至9.0.34版本建議升級到ApacheTomcat9.0.35或更高版本;ApacheTomcat8.5.0至8.5.54版本建議升級到ApacheTomcat8.5.55或更高版本;ApacheTomcat7.0.0至7.0.103版本建議升級到ApacheTomcat7.0.104或更高版本。用戶也可以通過sessionAttributeValueClassNameFilter適當的值配置PersistenceManager,以確保僅對應用程序提供的屬性進行序列化和反序列化。
成都鏈安:Li.Finance遭受攻擊事件分析:金色財經消息,據成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,DEX聚合協議Li.Finance遭黑客攻擊損失約60萬美元,關于本次攻擊,成都鏈安團隊第一時間進行了分析發現:被攻擊合約中的swapAndStartBridgeTokensViaCBridge函數中存在call注入攻擊,可通過構造惡意的數據(_swapData)控制call調用的參數。在本次攻擊事件中,攻擊者惡意構建callTo地址為對應的代幣合約地址,并調用代幣合約的transferFrom函數轉走受害地址的代幣。[2022/3/21 14:08:55]
成都鏈安:Visor Finance遭受攻擊事件分析:據成都鏈安監測顯示,Visor Finance于北京時間2021年12月21日晚上10點18分遭受攻擊。經成都鏈安技術團隊分析,本次攻擊利用了Visor Finance項目抵押挖礦合約RewardsHypervisor的兩個漏洞:
1.call調用未對目標合約進行限制,攻擊者可以調用任意合約,并接管了抵押挖礦合約的執行流程;<- 主要漏洞,造成本次攻擊的根本原因。2.函數未做防重入攻擊;<- 次要漏洞,導致了抵押憑證數量計算錯誤,不是本次攻擊的主要利用點,不過也可憑此漏洞單獨發起攻擊。針對這兩個問題,成都鏈安在此建議項目方應做好下面兩方面:1.進行外部合約調用時,建議增加白名單,禁止任意的合約調用,特別是能夠控制合約執行流程的關鍵合約調用;2.函數做好防重入,推薦使用openzeppelin的ReentrancyGuard合約。[2021/12/22 7:55:18]
聲音 | 成都鏈安:用戶安全意識不足、交易所安全體系不夠完善等因素造成交易所安全事件頻發:成都鏈安統計數據顯示,近期交易所安全問題時有發生。通過總結近期各種交易所安全事件和用戶丟幣事件,成都鏈安分析認為,交易所安全事件的問題來源主要有三點:1、用戶安全意識不足,導致誤入釣魚網站等進而私密信息被盜。2、交易所安全體系不夠完善,平臺自身存在安全漏洞。3.交易所外接數據服務或其他服務后,未針對不可控因素建立應急機制。[2019/8/26]
尊敬的LOEx用戶:AGM近日技術升級,應項目方要求,LOEx國際站于6月1日17:30-6月7日17:30暫停關閉AGM充提幣通道,升級期間如有不便.
1900/1/1 0:00:00幣圈馮博毅:6.3BTC晚間走勢分析及操作指南目前對幣圈感興趣的、剛剛入市的、資金遭到嚴重縮水的、收益不理想的散戶朋友可以找到我.
1900/1/1 0:00:00尊敬的用戶, HomiEx對所有用戶解鎖SLAT快照每日完成時間(新加坡時間)如下: 日期 快照時間2020年06月01日Huobi發布關于POOLZ被攻擊后的用戶資產處理方案:3月29日消息.
1900/1/1 0:00:00尊敬的CITEX用戶: 由于錢包維護,CITEX暫停ZEC充提幣業務,恢復充提幣業務時間另行公告.
1900/1/1 0:00:00親愛的Canbit用戶,本文為Canbit投研20200601期。在5月29日的Canbit投研中,我們認為,ETH和LINK存在上漲的可能,文章發出不久,ETH和LINK果然如期大漲,ETH一.
1900/1/1 0:00:002020年6月1日周一農歷四月初十大家好,我是你們的老朋友易天說。專注從K線形態角度摸索市場動向分析行情走勢,觀點明確,一針見血,爭取為廣大幣友傳遞最有價值的幣市信息.
1900/1/1 0:00:00