XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網頁,使用戶加載并執行攻擊者惡意制造的網頁程式,這些惡意網頁程式通常是JavaScript,但實際上也可以包括Java、
VBScript、ActiveX、 Flash
或者甚至是普通的HTML,攻擊成功后,攻擊者可能得到包括但不限于更高的權限(如執行一些操作)、私密網頁內容、會話和cookie等各種內容,
問題
首先這個平臺是一個物流園的門戶網站,網站有一些相關的實時新聞和其他站點的友情鏈接,
這是當時他們網安部門的漏洞報告,
門戶首頁上就有新聞模塊,新聞模塊上上的文章內容來源一個門戶運維管理平臺,通過ueditor和md來編輯,他們的作業人員就從他們集團的copy一篇新聞過去,包含新聞中的所有內容,
決議
這個新聞的內容,好家伙直接出現兩個外站鏈接,后面調查發現不是惡意網站,只是幾張圖片的鏈接,但是還是存在安全漏洞,除了自己網站,其他站點應該都是不可信的,新聞是不需要認證就是可以正常瀏覽,但是門戶是可以登錄再進行其他操作,如果這個站點是惡意鏈接,當我登陸完,cookie已經攜帶了用戶認證憑證,再回傳首頁,打開新聞頁圖片鏈接開始請求外站,這是當前站點認證后的cookie就已經傳輸給了外站,這是外站就可以利用cookie來試下跨站攻擊,
如何避免
像這種富文本之類的內容很容易就包含其他外站鏈接,關鍵運營人員并不會注意到這些,所以要再源頭上解決問題,
在富文本編輯器上加上前端js限定,不許出現https或http的外站鏈接,如果出現,直接不允許提交,
后端也可以加上限定,當存在https和http之類的匹配字符,檢測一下是否是本站鏈接,否則直接不做存盤,拋出例外,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/276322.html
標籤:其他
上一篇:關于多執行緒的學習(下)