11.8 私信及反馈

私信和反馈功能在大多数网站中都能见到,特别是社交应用,私信是必不可少的功能。这个功能是两个用户之间互动使用,两端都是人,除了特殊情况下可以滤去的SQL注入或者命令执行等少见漏洞外,最常见的就是XSS漏洞以及越权漏洞。

近年流行的XSS盲打平台把XSS漏洞推向了利用高潮,XSS盲打是指在不确定能否利用的情况下输入XSS代码进行不可预知的攻击,而这正是利用了私信和反馈这些功能,因为这些功能可以直接跟管理员沟通,利用其中存在的XSS漏洞拿到管理员cookie数据。我们来看乌云网的一个例子:

缺陷编号:WooYun-2015-118779

漏洞标题:爱鲜蜂app某处可盲打已入后台

相关厂商:爱鲜蜂

漏洞作者:路人甲

在应用的意见反馈处插入XSS代码,如图11-15所示。

图 11-15

当管理员在Web后台查看反馈后,即可获得管理员的cookie,如图11-16所示。

图 11-16

最后利用cookie登录后台,如图11-17所示。

图 11-17

对于私信和反馈的XSS漏洞防御并没有什么特别的手段,跟我们之前介绍过的XSS防御方法一样,最主要的是将特殊字符进行过滤,另外是使用白名单和黑名单结合的方式。