发现

咸鱼好久没有更新内容,于是昨天想着来记录下最近的事情,结果上来发现网站页脚出现了奇怪的友链,于是登录进后台,元素审查一看,居然有人给我插了一条 XSS 进去了……
Snipaste_2020-04-09_03-29-47.png

再一看网络记录,可以,我的 cookie 已经被上传了…… 赶紧把 token 改了,然后临时把管理页删了……
Snipaste_2020-04-09_03-30-35.png

溯源

搞完在思考,为什么这里会有这么严重的问题。首先回到友链插件上,没想到这个作者居然显示文字的时候没有做任何安全性字符过滤,导致了 xss 的可能。
但是为何数据会出现在我的库里呢?想来想去没想通,于是顺手看了下友链插件的提交数据,然后把表单复制出来,去除 cookie 信息后从控制台直接 curl 提交,结果居然直接通过了?居然没有鉴权?这就坑大了,只要用到了 Links 插件的 Typecho 网站都有此安全漏洞……

感言

很多开发者没有安全概念,技术参差不齐,所以不要随便瞎用别人的插件…… 毕竟在自己服务器上跑,安全还是第一位。然后,千万不要偷懒,建网站第一件事情就是把管理页面改个地方,最好是没法猜测的随机字符串,防止这种漏洞被做成工具批量扫描然后中招。