微信公众号爆出前端xss安全漏洞

2019-09-0507:29:10WEB安全防护Comments3,453 views字数 1333阅读模式

公众号中挖掘到了一个 XSS 安全漏洞,具体复现流程如下:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

  1. 发一篇公众号文章,标题中包含 <input onfocus="alert('1')">
  2. 用户打开文章后,在写留言页面中会发现标题没有被转义,正常被渲染成了 HTML
  3. 用户点击被渲染出来的输入框后执行代码

以下是复现漏洞的视频文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

视频链接文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

现在我们来分析下这个漏洞的产生过程。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

首先标题中存在 HTML <input onfocus="alert('1')">,在网页中如果不对这部分文本做转义的话,就会正常渲染为 HTML。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

在文章详情中其实我们并没有发现这个问题,也就说明了在该页面中开发者是做了文本转义的。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

但是在留言页面中却出现了该问题,也就是说开发者并没有做标题的转义,因此导致了这个问题的发生。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

虽然这个问题触发条件不是那么容易,但是对于微信这样亿级日活的产品出现这样低级的安全问题实属没想到。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

我们把这样的安全问题称之为 XSS 攻击。根据攻击的来源,我们可以将此类攻击分为三种,分别为:文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

  • 反射型
  • 存储型
  • DOM 型

在这个案例中我们遇到的是存储型 XSS 攻击。此类攻击是攻击者将恶意代码提交至服务器并保存在数据库中,用户访问该页面触发攻击行为。这种类型的攻击常见于保存用户编辑数据的场景下,比如案例中的发表文章,亦或者评论场景等等。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

防范存储型 XSS 攻击的策略就是不相信一切用户提交的信息,比如说用户的评论、发表的文章等等。对于这些信息一律进行字符串转义,主要是引号、尖括号、斜杠文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

function escape(str) {
  str = str.replace(/&/g, '&amp;')
  str = str.replace(/</g, '&lt;')
  str = str.replace(/>/g, '&gt;')
  str = str.replace(/"/g, '&quto;')
  str = str.replace(/'/g, '&#39;')
  str = str.replace(/`/g, '&#96;')
  str = str.replace(/\//g, '&#x2F;')
  return str
}
// "&lt;script&gt;alert(1)&lt;&#x2F;script&gt;"
escape('<script>alert(1)</script>')
复制代码

但是在显示富文本的场景下其实不能把所有的内容都转义了,因为这样会把需要的格式也过滤掉。对于这种情况,通常考虑采用白名单过滤的办法。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

// 使用 js-xss 开源项目
const xss = require('xss')
let html = xss('<h1 id="title">XSS</h1><script>alert("xss");</script>')
// -> <h1>XSS</h1>&lt;script&gt;alert("xss");&lt;/script&gt;
console.log(html)
复制代码

在白名单的情况下,h1 标签不会被转义,但是 script 能被正常转义。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

最后

安全无小事,大家在做项目的时候应该时刻关注在类似场景下的可能出现的安全问题。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

作者:yck
链接:https://juejin.im/post/5d6f1e68f265da03d871dc08
来源:掘金
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html

文章源自菜鸟学院-https://www.cainiaoxueyuan.com/anquan/16086.html
  • 本站内容整理自互联网,仅提供信息存储空间服务,以方便学习之用。如对文章、图片、字体等版权有疑问,请在下方留言,管理员看到后,将第一时间进行处理。
  • 转载请务必保留本文链接:https://www.cainiaoxueyuan.com/anquan/16086.html

Comment

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

确定