事情发生有一段时间了,查了和老板的聊天记录是在3月8号那天,他告诉我有个自家用的网站之前出了点问题,叫我解决一下。那个网站是我前技术大佬负责的,网站刚出问题的时候我老板和他反映过,结果他表示这个站是“被劫持了”。
这是我老板给我转述我大佬的话:
打开网站 https://www.xuab.net/archives/36.html 这是一篇标题为“校园网 FlashCookie 检测共享技术分享”的文章。
是我第一次听说的劫持方式,粗略看了看文章觉得写的人条理好清晰啊,但并没有看得很懂,所以就先放在一边,具体到网站看看是什么问题。我老板给我演示了一下,用户账号登录之后,前端js向一个php接口发起ajax请求,一段时间后看火狐浏览器的网络控制台,请求的状态码变成504,无任何请求头或响应内容。
当时就被“没有请求头”给唬住了,心想我以前都没遇过这种情况啊!我老板也在旁边说他也是第一次见。然后跟那篇FlashCookie的文章对比了下,并不符合里面所描述的问题,于是我就往“这可能是另外的劫持/攻击方式吧”去思考,百度了一下可是信息还太少抓不住关键词,所以我在网站做了各种测试,得到下面的总结:
- 同一个系统,管理员使用的后台没有异常,问题只出现在用户使用的前台。
- 出现504的接口,用户未登录前访问是可以正常的返回制定信息的。(根据这点以为是登录后的session/cookie被人动了手脚,排查一阵后发现并不是。但是细想如果别