V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
idragonet
V2EX  ›  程序员

帮朋友做的公司网站给当地网安大队通知有漏洞

  •  
  •   idragonet · 2023-10-25 08:38:56 +08:00 · 8314 次点击
    这是一个创建于 406 天前的主题,其中的信息可能已经有所发展或是发生改变。

    “跨站脚本攻击”...幸好网站是自己写的,很快修复了。如果是第三方 PHP 系统搭建那就够呛。

    39 条回复    2023-10-26 12:44:58 +08:00
    HelloWorld556
        1
    HelloWorld556  
       2023-10-25 08:42:56 +08:00
    咋解决的,如果用 PHP 搭建会不会就没这个漏洞了
    idragonet
        2
    idragonet  
    OP
       2023-10-25 08:43:43 +08:00   ❤️ 1
    @HelloWorld556 #1 .NET Core 写的,过滤用户输入特殊字符串即可。
    musi
        3
    musi  
       2023-10-25 08:49:58 +08:00   ❤️ 1
    @HelloWorld556 这跟语言有啥关系
    idragonet
        4
    idragonet  
    OP
       2023-10-25 08:51:26 +08:00
    反正之前用第三方 PHP 系统搭建的网站经常给篡改网页,都怕了。
    N9f8Pmek6m8iRWYe
        5
    N9f8Pmek6m8iRWYe  
       2023-10-25 08:52:57 +08:00
    搭个前置 WAF ,常见攻击就免疫了
    Conantv2
        6
    Conantv2  
       2023-10-25 08:56:54 +08:00   ❤️ 3
    遇到过,不过我那个整改通知很白痴,不过也改了,算是帮他们冲下业绩。

    第三方 PHP 建站系统防御其实也很简单的,Nginx 配置两个站点,一个源站做管理站,一个公开站。公开站在 Nginx 反代源站,只接受 GET 请求,并且过滤 URL 参数,神仙来黑不了。源站另一个子域名,配置开源系统以外的访问限制,比如要求特定 UA ,然后给客户浏览器装修改 UA 扩展,配置好 UA 字符串。
    HelloWorld556
        7
    HelloWorld556  
       2023-10-25 08:57:06 +08:00
    @musi 我不会 PHP ,他说的用 PHP 搭建,我理解是有什么脚手架生成,可能会避免这个问题
    idragonet
        8
    idragonet  
    OP
       2023-10-25 08:58:14 +08:00
    @Conantv2 #6 “Nginx 反代源站,只接受 GET 请求”这个思路不错。
    thinkm
        9
    thinkm  
       2023-10-25 08:59:26 +08:00
    网上大部分基于 PHP 的系统,都是一身洞
    GeorgeGalway
        10
    GeorgeGalway  
       2023-10-25 09:00:04 +08:00   ❤️ 12
    @idragonet #4 这种乱扣帽子的行为看到就直接 B
    wheat0r
        11
    wheat0r  
       2023-10-25 09:17:42 +08:00
    @stevenchengmask 好多网站写的太屎,前置一个 WAF ,页面功能都异常了😂
    chperfect
        12
    chperfect  
       2023-10-25 09:20:25 +08:00
    不是,网安大队帮忙扫描 bug 的嘛?是不是 内部应用。
    justFxxk2060
        13
    justFxxk2060  
       2023-10-25 09:27:11 +08:00
    我们这里扫了 bug ,还贴心的介绍了第三方工作做加固,16 万 8
    后来协商了做一次加固,一份报告,1 万块
    justFxxk2060
        14
    justFxxk2060  
       2023-10-25 09:27:36 +08:00
    我们这里扫了 bug ,还贴心的介绍了第三方公司做加固,16 万 8
    后来协商了做一次加固,一份报告,1 万块
    BeforeTooLate
        15
    BeforeTooLate  
       2023-10-25 09:34:31 +08:00
    PHP 躺枪啊,防注入现在框架基本做的很好了,你用的肯定不是主流框架吧,是不是 n 年不更新的后台管理系统。
    Conantv2
        16
    Conantv2  
       2023-10-25 09:35:22 +08:00
    @chperfect #12 网络与信息安全信息通报中心,了解一下,各省都有。网络安全法发布之后,各地网安自己跟合作单位都会在互联网上扫描,查到漏洞就会通知网站负责人整改,不改就处罚。
    vaaagle
        17
    vaaagle  
       2023-10-25 09:54:27 +08:00   ❤️ 1
    大概意思,看起来像是 xss 漏洞。这锅我个人感觉 PHP 可不想背~
    clue
        18
    clue  
       2023-10-25 10:10:17 +08:00   ❤️ 2
    xss 啊,这个和后台关系不大,后台过滤只是帮前台擦屁股;如果用成熟的 vue/react 这样的框架,并且不使用 v-html 等强行设置不转义的 html ,基本不会有 xss 漏洞
    codespots
        19
    codespots  
       2023-10-25 10:19:33 +08:00
    @clue 恰恰相反,应该是前端帮后端擦屁股
    clue
        20
    clue  
       2023-10-25 10:23:24 +08:00
    @codespots #19 健壮的前端,是可以显示任意字符的,除非原始需求就是要支持用户输入 html ,否则应该一律按文本展示,这时是不会存在 xss 漏洞的
    lozt
        21
    lozt  
       2023-10-25 10:47:11 +08:00
    @clue 明显是后端没做好吧,接口层面的 xss... 前端校验、防 xss 做再多也只是页面交互层面的
    lupus721
        22
    lupus721  
       2023-10-25 11:11:17 +08:00
    网安可以说扫就扫么,万一扫挂了算谁的。。

    14 楼值得多理解理解
    leefor2020
        23
    leefor2020  
       2023-10-25 11:11:31 +08:00
    @justFxxk2060 ,怎么听起来感觉像是创收...
    woshihgs
        24
    woshihgs  
       2023-10-25 11:29:45 +08:00
    @codespots #19 前端只是交互而已,最终到达的还是得后端处理
    BigShot404
        25
    BigShot404  
       2023-10-25 11:33:23 +08:00   ❤️ 1
    我现在知道 ucloud 香港段那群 bot 是用来干嘛的了。
    okakuyang
        26
    okakuyang  
       2023-10-25 11:40:21 +08:00
    xss 有后端的也有前端的,后端就是把攻击者把恶意脚本通过各种上传漏洞,变成了用户正常网页的一部分,从而破坏网页,窃取用户机密。
    okakuyang
        27
    okakuyang  
       2023-10-25 11:41:26 +08:00
    @okakuyang 前端的就是从 url 注入了恶意脚本,诱导用户点击,从而攻击。
    julyclyde
        28
    julyclyde  
       2023-10-25 12:55:38 +08:00
    @leefor2020 创收是勒令你去做等级保护认证
    maxssy
        29
    maxssy  
       2023-10-25 13:19:43 +08:00
    @idragonet #2 这功能 PHP 都是自带的
    saberlove
        30
    saberlove  
       2023-10-25 16:46:22 +08:00   ❤️ 1
    还不如 PHP 的框架 。。。
    zjsxwc
        31
    zjsxwc  
       2023-10-25 17:17:57 +08:00
    都能 js 注入了,

    你还不如直接用主流的 php 框架。
    flyqie
        32
    flyqie  
       2023-10-25 19:39:39 +08:00 via Android
    有没有可能,你用的第三方程序并不靠谱。

    靠谱的第三方程序比你自己写的安全问题少多了。

    并且是否篡改跟你服务器安全防护也有关系,程序再靠谱你服务器安全防护不靠谱也是白费。
    Liftman
        33
    Liftman  
       2023-10-25 19:45:58 +08:00
    网安技术支撑+等保人 来解释下,这个不是地方行为,是上级扫的。无时无刻不在盯着扫描的。特征一抓一堆的。按要求整改就行了。 能被 xss 攻击说明开发经验薄弱。因为这个属于常识问题。商用不会遇到。hw 都不收 xss 的基本上。
    Tink
        34
    Tink  
       2023-10-25 19:47:41 +08:00
    这网安还是干事的啊
    zhanglintc
        35
    zhanglintc  
       2023-10-25 20:18:38 +08:00
    “给”还是“被”?
    GeekGao
        36
    GeekGao  
       2023-10-25 22:27:49 +08:00
    记住一句话:无利不起早,至于是啥样子的利益链条…我在说梦话。
    lp7631010
        37
    lp7631010  
       2023-10-25 23:26:17 +08:00
    避免 xss 最好的办法就是避免直接输出,现在主流的 php 框架,都是用模板引擎,模板引擎你不强制输出原代码的话,是会自动过滤掉 xss 攻击的,就不存在有这个问题。前后端分离项目的话,比如 vue 这种前段框架,自己不骚操作的话,输出显示内容也是会自动过滤掉 xss 攻击的。

    归根到底还是水平问题。。。
    iisboy
        38
    iisboy  
       2023-10-26 00:00:43 +08:00
    这不是正常操作么?配合整改就是了。
    zzlyzq
        39
    zzlyzq  
       2023-10-26 12:44:58 +08:00
    如果需要,我可以帮你安装 safeline ,并使用 awvs 扫描网站进行安全检测。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1021 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:53 · PVG 03:53 · LAX 11:53 · JFK 14:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.