網頁前端攻擊在 Web3 上的應用

談到了 Web3，大多數人想到的都會是加密貨幣、元宇宙或是 NFT 等等的東西，而這些背後的技術是區塊鏈以及智慧合約，是一套完全不同的體系。

但可別忘記了，Web3 的世界仍然需要一個入口，而這個入口就是 Web2，也就是我們所熟悉的網頁世界。

在這一篇裡面，我會跟著大家一起看幾個從 Web2 攻擊 Web3 世界的真實案例。

影響力更大的 XSS

在一般的網站裡面如果成功找到了 XSS 漏洞，那可以做的事情通常都是偷取使用者在網站上的資料，例如說電話、Email 或是姓名等等。

那如果在 Web3 的世界裡面找到了 XSS 呢？或許除了偷資料以外，還可以偷更有價值的東西——加密貨幣。

在加密貨幣的世界中，每個人都有一個自己的錢包，而在瀏覽器上最知名的錢包之一就是 Metamask，當你要授權一筆交易或是簽署一個訊息的時候，會看到如下的介面：

如果是交易或是智慧合約授權的話，上面會寫著合約的地址以及訊息等等。

大家都知道不要隨便同意來路不明的交易，看起來奇怪的網站就忽略它，但如果今天是像 PancakeSwap 這種有名的網站呢？當你在上面執行操作並按下確認時，Metamask 錢包跳出了提示視窗，要你同意交易，我想應該九成的人都會直接按下確定。

但有可能因為這個小小的點擊，導致你損失了大量的加密貨幣。

所謂的「簽署交易」這件事情，其實就是網站透過 JavaScript 去呼叫錢包所提供的 API，並且讓錢包跳出相關的介面，當使用者按下同意時，才會使用私鑰去簽署交易，這筆交易才算成立。

因此，在 Web3 的世界中，如果有駭客掌握了 JavaScript 的執行，就可以在看起來合法的網站上，跳出一筆惡意的交易，當使用者按下同意時可能就會將加密貨幣授權給駭客的智慧合約，錢就被偷走了。

例如說 2022 年時一個叫做 PREMINT 的 NFT 網站上的 JavaScript 檔案遭到竄改，導致有一些使用者在無意間同意了駭客的智慧合約的授權，更多細節請參考：PREMINT NFT Incident Analysis

找到了一個可以 XSS 的網站，就只能攻擊一個，但如果找到了許多網站共同使用的 library 的漏洞，那影響力就更大了。

前面介紹過的供應鏈攻擊也可以運用在 Web3 的網站上面，接下來要介紹的是由 Sam Curry 在 2022 年時發布的文章：Exploiting Web3’s Hidden Attack Surface: Universal XSS on Netlify’s Next.js Library

在文章中，他描述了自己找到了一個 Next.js 相關套件以及 @netlify/ipx 的漏洞，能夠在任何有使用這些套件的網站上面執行 XSS。

而 netlify 原本就是一個許多人會選擇在上面部署網站的服務，尤其是 Web3 的網站，可能只是一個沒有傳統後端的靜態頁面，所有頁面的功能都可以透過 HTML、CSS 以及 JavaScript 完成，不需要後端 API。

因此，透過這個漏洞，可以攻擊像是 Gemini 或是 PancakeSwap 這種有名的大網站，利用 XSS 跳出智慧合約授權的畫面，並且誘騙使用者點擊。

Cookie bomb 的實際應用

前面提過的 cookie bomb，在 Web3 的世界中也有了新的意義。

OtterSec 在 2023 年發佈的文章：Web2 Bug Repellant Instructions 裡面，就有提到實際的案例。

現在有許多網站都支援圖片上傳，而有些網站甚至允許 SVG。

那 SVG 跟其他圖片格式差在哪邊呢？差別在於，SVG 檔案是可以執行 script 的，像底下這樣：

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">

<svg version="1.1" xmlns="http://www.w3.org/2000/svg">
  <script type="text/javascript">
    alert("Hello");
  </script>
</svg>

因此，如果一個網站支援 SVG 上傳，就有滿高的機率可以利用 SVG 來達成 XSS 漏洞。

但是有一個問題，那就是許多圖片上傳的地方都會與主網站隔開，例如說直接上傳到 S3，而且沒有特別設定域名。所以充其量也只是得到了一個圖片網域的 XSS，並沒有什麼影響力。

但是對於 NFT 的網站就不同了。

以 NFT 的網站來說，圖片是很重要的一環，如果沒辦法看到圖片，整個網站的可用性會受到比較嚴重的影響。因此透過 cookie bomb 來對圖片進行 DoS，對於 NFT 網站來說是有更大的影響力。

同一個漏洞，對於不同類型的產品來說，嚴重性跟影響力也會不同。

舉例來說，同樣是 DoS 漏洞，都可以把一個網頁暫時弄到當機，對去年聖誕節的活動網頁來說就沒什麼，但是對加密貨幣交易所來說就會損失慘重。

小結

在這篇裡面我們看到了 Web3 的產品其實還是必須面對傳統網頁資安會碰到的問題，而且必須加以防護。如果沒有防護好，就算入侵的不是智慧合約，也可以造成一定的損害。

Web3 的攻擊面並不只有智慧合約，像是傳統網頁資安、釣魚攻擊或是私鑰安全等等，也都是需要防備的部分。