发现
咸鱼好久没有更新内容,于是昨天想着来记录下最近的事情,结果上来发现网站页脚出现了奇怪的友链,于是登录进后台,元素审查一看,居然有人给我插了一条 XSS 进去了……
再一看网络记录,可以,我的 cookie 已经被上传了…… 赶紧把 token 改了,然后临时把管理页删了……
溯源
搞完在思考,为什么这里会有这么严重的问题。首先回到友链插件上,没想到这个作者居然显示文字的时候没有做任何安全性字符过滤,导致了 xss 的可能。
但是为何数据会出现在我的库里呢?想来想去没想通,于是顺手看了下友链插件的提交数据,然后把表单复制出来,去除 cookie 信息后从控制台直接 curl 提交,结果居然直接通过了?居然没有鉴权?这就坑大了,只要用到了 Links 插件的 Typecho 网站都有此安全漏洞……
感言
很多开发者没有安全概念,技术参差不齐,所以不要随便瞎用别人的插件…… 毕竟在自己服务器上跑,安全还是第一位。然后,千万不要偷懒,建网站第一件事情就是把管理页面改个地方,最好是没法猜测的随机字符串,防止这种漏洞被做成工具批量扫描然后中招。
版权属于:一名宅。
本文链接:https://zhaiyiming.com/archives/typecho-links-xss.html
转载时须注明出处及本声明
其实 屏蔽后台的直接访问能解决这个问题吧。。 我一般是前台登录
这个漏洞访问的是https://域名.com/action/links-edit 这个url,好像修改管理地址也没有作用,最好能在插件里加个鉴权,不过修改默认的管理地址的确能避免很多麻烦,每天都有好多ip不断试弱密码
你好博主,启用Access插件的提示:数据表建立失败,插件启用失败,错误信息:Specified key was too long; max key length is 1000 bytes。能解决吗?