微信公众号爆出前端安全漏洞

最新推荐文章于 2024-04-13 05:11:43 发布
最新推荐文章于 2024-04-13 05:11:43 发布
阅读量404 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yck199/article/details/103924212
版权

蓝字关注,回复“1”加入前端进阶群 与大家一起成长

昨日在公众号中挖掘到了一个 XSS 安全漏洞,目前该漏洞已经上报给腾讯,具体复现流程如下:

  1. 发一篇公众号文章,标题中包含<input onfocus="alert('1')">

  2. 用户打开文章后,在写留言页面中会发现标题没有被转义,正常被渲染成了 HTML

  3. 用户点击被渲染出来的输入框后执行代码

以下是复现漏洞的视频

素材来自公众号「遇见前端」

现在我们来分析下这个漏洞的产生过程。

首先标题中存在 HTML<input onfocus="alert('1')">,在网页中如果不对这部分文本做转义的话,就会正常渲染为 HTML。

在文章详情中其实我们并没有发现这个问题,也就说明了在该页面中开发者是做了文本转义的。

但是在留言页面中却出现了该问题,也就是说开发者并没有做标题的转义,因此导致了这个问题的发生。

虽然这个问题触发条件不是那么容易,但是对于微信这样亿级日活的产品出现这样低级的安全问题实属没想到。

我们把类似这样的安全问题称之为 XSS 攻击。根据攻击的来源,我们可以将此类攻击分为三种,分别为:

  • 反射型

  • 存储型

  • DOM 型

在这个案例中我们遇到的是存储型 XSS 攻击。此类攻击是攻击者将恶意代码提交至服务器并保存在数据库中,用户访问该页面触发攻击行为。这种类型的攻击常见于保存用户编辑数据的场景下,比如案例中的发表文章,亦或者评论场景等等。

防范存储型 XSS 攻击的策略就是不相信一切用户提交的信息,比如说用户的评论、发表的文章等等。对于这些信息一律进行字符串转义,主要是引号、尖括号、斜杠

function escape(str) {
  str = str.replace(/&/g, '&amp;')
  str = str.replace(/</g, '&lt;')
  str = str.replace(/>/g, '&gt;')
  str = str.replace(/"/g, '&quto;')
  str = str.replace(/'/g, '&#39;')
  str = str.replace(/`/g, '&#96;')
  str = str.replace(/\//g, '&#x2F;')
  return str
}
// "&lt;script&gt;alert(1)&lt;&#x2F;script&gt;"
escape('<script>alert(1)</script>')

但是在显示富文本的场景下其实不能把所有的内容都转义了,因为这样会把需要的格式也过滤掉。对于这种情况,通常考虑采用白名单过滤的办法。

// 使用 js-xss 开源项目
const xss = require('xss')
let html = xss('<h1 id="title">XSS</h1><script>alert("xss");</script>')
// -> <h1>XSS</h1>&lt;script&gt;alert("xss");&lt;/script&gt;
console.log(html)

在白名单的情况下,h1标签不会被转义,但是script能被正常转义。

最后

安全无小事,大家在做项目的时候应该时刻关注在类似场景下的可能出现的安全问题。

欢迎大家来聊聊自己在项目中遇到的安全问题。

- END -

长按二维码关注,漫漫前端路,结伴同行

来自恺哥的推荐阅读

我就知道你在看!

yck 恺哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微信公众号多域名回调系统 微信公众号多域名回调功能:微信公众号后台默认只能授权2个网页域名,用本系统突破这个限制,用同一个公众号
09-13
这是一款基于ThinkPHP6.0开发的微信公众号多域名回调系统。本系统有如下功能: 微信公众号多域名回调功能:微信公众号后台默认只能授权2个网页域名,用本系统突破这个限制,用同一个公众号对接无限多个网站。网站...
微信公众号之XSS攻击
cdgm_c的博客
05-23 4296
最近入职新公司后接手了一个项目,线上遇到一连串微信公众号的问题,都是项目之前留下的坑,之前没有接触过微信开发,踩完坑来记录一下。 XSS攻击 前景提要 公司项目属于比较旧的项目,没有前后端分离,还是用的SSM+JSP的架构,导致接口请求时被注入js脚本恶意跳转,然后被微信封了一批接口(例如https://www.aa.com/bb/cc接口被攻击,以bb为前缀的接口都会被封禁) 之前接触过的项目是前后端分离的,后台接口是REST风格,就算传入参数带有js脚本也造成不了影响(REST接口只向客户端返回数据),
JEEWMS 任意文件读取漏洞,最新网络安全开发面试解答
最新发布
2401_83944297的博客
04-13 408
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
某公司公众号任意用户注册漏洞利用
李熠专用博客_白帽子一枚,人称低危终结者
09-17 1958
现在大多平台用户注册都采用了手机号注册,通过发送验证码确保手机号的合法性。但是如果处理不当,则可能造成任意手机号注册等漏洞,就比如下面的某公众号。 漏洞利用 漏洞URL: http://wx.xxxx.qjcode.com/app_api/login/register 复现步骤: 进入该公众号,点击个人中心->登录,并切换到注册界面: 点击发送验证码,随便输入验证码,并输入密码,点击确认,用BurpSuit拦截注册接口,爆破注册接口,可使任意手机号注册。 该公众号还存在忘记密码按照同样方式操
微信公众号扫码授权登录思路
YXXXYX的博客
02-14 4505
微信扫码登录的一些思路
微信公众平台开发——微信授权登录(OAuth2.0)
weixin_34161032的博客
01-15 6849
1、OAuth2.0简介   OAuth(开放授权)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。   允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某...
PHP微信公众号管理系统.zip
05-02
PHP微信公众号管理系统 PHP微信公众号管理系统 PHP微信公众号管理系统 PHP微信公众号管理系统 PHP微信公众号管理系统 PHP微信公众号管理系统 PHP微信公众号管理系统 PHP微信公众号管理系统 PHP微信公众号...
微信公众号真机调试(详细说明文档有截图)
03-23
1.使用TBS Studio进行微信公众号真机调试扫描二维码报错无法安装线上TBS内核,原因是微信内置浏览器 x5内核以弃用升级到最新的xweb内核; 2.本方法是在最新版微信基础上真机公众号调试,手机电脑同屏利用浏览器的...
1000套微信图文设计模板微信公众号文章模板
08-13
1000套微信图文设计模板微信公众号文章模板html格式,下载打开可以直接编辑使用。涵盖各个主要节日,行业。学校教育,旅游居家生活,电商微商。新媒体文章模板。
【python实战】--微信公众号文章、图片、音频批量下载
07-02
1、输入指定链接批量下载微信公众号文章图片; 2、输入多个文章链接,批量下载微信公众号图片; 3、输入多个文章链接,批量导出微信公众号文章文本; 4、输入指定链接,下载音频; 5、wkhtmltopdf.exe免安装将html...
Jeecms弱口令和shiro反序列化RCE渗透测试记录
kelenwait的博客
07-03 8657
简介 Jeecms 是一个开源企业客户关系管理快速开发基础平台,Java企业应用开源框架,Java EE(J2EE)快速开发框架,使用经典技术组合(Spring、Spring MVC、Apache Shiro、hibernate4、EasyUI、Jqgrid、Bootstrap UI),核心模块如:组织机构、角色用户、权限授权、数据权限、内容管理、工作流等功能。 在企业官网、新闻站点、OA资源管理等多个领域都有应用。 由于使用的Apache Shiro 是低版本的,存在shiro反序列漏洞漏洞影响 弱口
一波三折,终于找到src漏洞挖掘的方法了【建议收藏】
qq_53058639的博客
02-15 548
比如在第一步认证原手机号时,随意输入验证码,将response包中的相关字段进行修改,比如0改成1,false改成true,即可绕过第一步验证,进入填写新手机号界面,如果第三步提交修改时没有验证第一步的结果,就会造成逻辑漏洞。无论打着什么样的旗号,如果其经营的项目并不创造任何财富,却许诺只要交钱入会,会发展人员就能获取“回报”,请提高警惕。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
JEECMS后台任意文件编辑漏洞及拿shell
收集盒 Book box
07-11 5084
JEECMS是基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点 · 采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构 安全性做得非常变态,当网站安装完成后就不再允许执行任何目录下的jsp文件了(web.xml配置了过滤器禁止了很多种动态脚本)。     2.x后台: login/Jeecms.do 3.x
常见未授权访问漏洞总结
热门推荐
07-23 6万+
本文详细地介绍了常见未授权访问漏洞及其利用,具体漏洞列表如下: Jboss 未授权访问 Jenkins 未授权访问 ldap未授权访问 Redis未授权访问 elasticsearch未授权访问 MenCache未授权访问 Mongodb未授权访问 Rsync未授权访问 Zookeeper未授权访问 Docker未授权访问 1、Jboss未授权访问 漏洞原因: 在低版本中,默认可...
[CVE-2018-2894] WebLogic文件上传漏洞
公众号shadow sock7
03-29 856
CVE-2018-2894: /ws_utc 这个路径的文件上传漏洞 两个上传接口触发点: /ws_utc/resources/ws/config/import /ws_utc/config.do 本poc以前者为例,进行poc和利用。上传成功之后会响应500,抛出NullPointerException,但是利用已经成功。 关于weblogic各版本的可利用情况: 10.3.6版本上未发现该功能,需手动开启: 登录控制台-》配置-》高级-》勾选启用Web服务测试页 -》保存 12.1.3.0默认开启
PHPMailer命令执行及任意文件读取漏洞
02-10 1717
  今天在thinkphp官网闲逛,无意下载了一套eduaskcms,查看了一下libs目录中居然存在PHPMailer-5.2.13,想起了之前看到的PHPMailer的漏洞,可惜这套CMS只提供了一个邮箱接口,前台页面需要单独自己写,没办法用这套CMS进行复现,这边也顺便利用这个PHPMailer-5.2.13对CVE-2016-10033和CVE-2017-5223进行本地复现,记录一下。 ...
Web渗透漏洞靶场收集
05-14 907
“如果你想搞懂一个漏洞,比较好的方法是:你可以自己先用代码编写出这个漏洞,然后再利用它,最后再修复它”。—-摘自pikachu漏洞靶场的一句话。初学的时候玩靶场会很有意思,可以练习各种思路...
微信公众号前端vue环境搭建
09-17
在搭建微信公众号前端vue环境之前,首先需要准备一个微信公众平台测试账号。...因此,在进行微信公众号前端开发之前,建议你仔细阅读微信公众平台的开发文档,并根据文档中的指引进行配置和开发工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值