事由:業務人員突然反饋後臺的數據顯示不正常,讓技術找原因。
1.排查問題
我在排查問題的時候,發現是用戶在提交的時候,後端沒有對內容進行XSS過濾,導致數據庫中存入了腳本,包含腳本的內容返回給了前臺,繪畫頁面的時候,因爲腳本的標籤沒閉合,導致了繪畫中斷,所以頁面顯示不正常。
數據庫中存儲的是這樣的
2.問題分析
正好對XSS挺感興趣的,就來看看,存入了js腳本後,到底是如何進行惡意攻擊的。
準備一個本地的web項目,用來測試,在登錄頁面加上圖中的內容,觀察瀏覽器的NetWork
上圖中,有三個異常的請求
異常請求1
第一個OrAI請求,是301轉發,因爲我本地是http的,它的網站是https的,請求它的資源,都得是https的,所以會301到https
異常請求2
第二個OrAI請求,返回的是一段js腳本
這段js很簡單,就是獲取url和cookie,然後僞裝請求圖片,在“圖片”鏈接後面帶上參數,發送給對方。有了url和cookie,那對方就可以進入後臺爲所欲爲了
異常請求3
第三個請求,就是發送我方數據給對方了,很直觀
從網絡請求可以看出,把數據送到了一個xss平臺
3.問題處理和防範
對所有後端接收到的參數,都要做XSS和SQL過濾。已入庫的數據,要進行更正
但是,我看數據加入的數據,已經很長時間了,按道理他應該早就提現了的,咋一直沒聽到相關資安的問題呢?後來才反應過來,我們後臺是有做ip限制的,只有在白名單的ip纔可以打開,這樣就一定程度的避免了惡意提現的情況