事件背景
今年二月为客户开发了一个小程序页面,其中包含用户自定义头像功能。在上传白名单中,我们误将 xml 文件当作 svg 格式放行(后端校验存在疏漏)。不过很快就发现并修复了 bug ,但忽略了这一点竟然已被灰产利用,少数 xml 文件被上传至 OSS 。
问题根源
谁也想不到,这些仅 3KB 大小的 xml 文件中竟含有一行可执行的外部 JS 恶意脚本的代码。它们静静地存储了数月,直到被某些“有缘人”访问触发(看起来访问后会跳转到其他的链接,用来隐藏入口)。
遭遇危机
八月,我们为客户上线了一个宣传页面,投放了朋友圈广告。就在投放结束当晚域名突然被腾讯网址安全中心封禁,无法在微信生态中打开。找了三四天客服,只得到回应:拦截来自手机管家,无法直接处理,给了个入口让去申诉,我们尝试了多种方法申诉,比如:
- 逐个清理资源文件,甚至整个文件夹,刷新 CDN 缓存,再提交申诉;
- 将客户资源迁移至新的 OSS ,更换解析路线,再次申诉;
- 甚至在夜里偷偷停止解析域名,再去填写申诉材料都无效。
能想到的所有方案都尝试了,提交的每次申诉,大约 1 小时后,都收到固定的邮件回复:网站存在恶意链接
事件影响
由于恰好发生在广告投放结束当晚,最后一波流量丢了,客户已印制的二维码物料也全部作废,承担了全部赔偿,这个项目等于白干,还丢了客户信任。
后续还有很多影响吧,一些存量客户的小程序嵌入的网页也因域名封禁无法打开,只能逐一协调迁移、更换域名。这件事已经过去半个月,一些过往案例在微信中也无法打开,我们已放弃申诉,损失惨重。
唉,每年各项业务向微信缴纳了大量的费用,却在需要解决问题的时候求助无门,没有标准文档,没有解决问题的方式,只有冷漠的机器回复。
第 1 条附言 · 11 小时 59 分钟前
在加班没看回复,感谢各位的关注,@tencentcloud 确实是官方,应该是通过🔗查询到了域名,已经核实帮我处理解封了,在此非常感谢。
小公司没有那么多安全防御资源,我们有一直依靠采购云上的各种检测服务。早期为了解决跨域和资源共享的问题,都放在一个 bucket ,后续我们会做一些架构调整,真诚感谢大家的建议。
小公司没有那么多安全防御资源,我们有一直依靠采购云上的各种检测服务。早期为了解决跨域和资源共享的问题,都放在一个 bucket ,后续我们会做一些架构调整,真诚感谢大家的建议。
 |
1
RihcardLu 17 小时 29 分钟前
深有同感,之前一个小程序也因为一张莫名其妙的图片,被腾讯封了,前前后后耗时一个多月,最终也只是降级到“打开网址会有风险提示”这种程度
|
 |
2
NessajCN 17 小时 19 分钟前
你希望我们同情一下还是帮你喷一下腾讯呢
你说你「无意」投放了带恶意链接的 xml 姑且先不纠结为啥你们一开始会有这么个 xml, 也信了你们只是菜而不是坏 那既然你们行为确实恶劣影响,恶意脚本也实实在在让很多用户受害 那仅仅封一个域名不是很轻的惩罚了吗, 较真一点可以直接找网安调查一下你们才对。 经济损失也是你们活该 |
 |
3
bugly OP  1
@NessajCN 不知道哪里恶劣了,黑灰产利用漏洞拿 xml 做了跳板,我们同为受害者。
我分享经历只是让大家能注意到这个问题,避免更多人犯同样的低级错误。 |
 |
4
tencentcloud 16 小时 58 分钟前
尊敬的用户您好,我们非常重视您反馈的问题,并对由此给您带来的不便深表歉意。腾讯云始终致力于为客户提供稳定可靠的服务,对于您遇到的域名封禁及申诉处理问题,我们已第一时间同步内部相关团队进行核查,并将积极协助您推进解决。为确保您的问题得到更高效的处理,请您将腾讯云账号 ID 或域名信息通过([email protected]) 邮箱发送给我们,感谢您的理解与支持。
|
 |
5
tomatocici2333 16 小时 46 分钟前
 这个更多是你们开发者的问题吧。就不应该开放 svg 的上传.. |
 |
6
vace 16 小时 43 分钟前 1
类似于 XXS 的 XXE 漏洞,如果使用 svg 图片作为矢量图要多注意:
https://github.com/rtnthakur/CVE/blob/main/MODX/README.md |
 |
7
JoeJoeJoe PRO 最好每个项目都独立域名, 手里最少存一个备案过得应急域名
要不某个项目被风控, 就会牵连一大片项目. |
 |
8
jamel 16 小时 41 分钟前
@tencentcloud 你是真的还是假的。v2 里面怎么还有官方???
|
|
9
tencentcloud 15 小时 41 分钟前
尊敬的用户您好!经复核您反馈的域名因存在恶意文件触发的安全拦截现已解除。我们对申诉流程中的不好体验深表歉意,后续我们将优化审核机制,提供更清晰的处置指引。若您有任何疑问或建议,请随时通过工单系统联系我们,我们将尽快协助您解决。感谢您的反馈与信任!
|
 |
11
xiangbohua 15 小时 22 分钟前 1
@NessajCN 好像 xml 是其他人利用漏洞上传上去的,不是 OP 自己上传上去的,总之这么一想真的还是挺吓人的
|
 |
12
lepig 15 小时 9 分钟前
上面的 @tencentcloud 已经反馈你们的安全拦截已被解除。 请楼主出来确认一下。
|
 |
13
Liuman 14 小时 55 分钟前
@NessajCN 我看文中 是 OP 他们上传了一个页面,可以上传头像, 其他人上传了带恶意 js 的 svg 图片,所以导致的问题,不是 OP 投放的链接 XML
|
 |
14
devcai 14 小时 11 分钟前
腾讯的客服是真的弱 收钱是真的会收 最近注册公司做业务 一个公司四五个认证
微信开放平台 微信服务号 微信公众号 企业微信 小程序 每个都要单独出钱年审, 垄断了没办法。 |
 |
15
unused 13 小时 59 分钟前
封是真没什么问题,关键是要及时解
|
 |
16
lambdaq 13 小时 56 分钟前
svg 这个学习了!
小程序嵌入的网页也因域名封禁无法打开 这个最好另外弄个域名跳转,避免牵连 |
 |
17
Configuration 13 小时 55 分钟前 1
@tencentcloud 真够讽刺的,官方渠道全是机器人,外部私人论坛倒是有活人盯着!
|
 |
18
zturns 13 小时 43 分钟前
连 LOL 买皮肤不到账找一圈官网都找不到客服,腾讯系不会再充钱
|
 |
19
est 13 小时 32 分钟前 1
@bugly @vace @tomatocici2333 @Liuman
有一个技术细节问题,svg 我之前研究过 https://blog.est.im/2023/stdout-10 svg 如果放到 <img> ,那么浏览器会禁止加载任何外部资源,脚本也禁止执行 除非你放到 <object>, <embed>, <iframe> 里,或者直接把 svg 内容嵌入到 .html 的 <svg> 里 LZ 你这个怎么触发的? |
|
20
est 13 小时 27 分钟前
我猜,这个头像,没有在你们 小程序 里出的问题,而是头像资源被嵌入到别的什么页面里引起和你们无关的人访问,然后腾讯把你们域名给牵连了?
|
 |
21
anivie 12 小时 36 分钟前
鸡蛋别放在同一个篮子里……老祖宗的智慧这一块
 以后还是多研究一下支付宝小程序的好,至少有个备用方案不过“遭遇危机”这一栏里,你们是已经把 xml 删掉了再申诉的吗,还是当时还没发现一直在申诉,后续才发觉的 |
 |
22
busier 11 小时 57 分钟前 via Android
垄断惯的毛病
|
|
23
bugly OP @est 我们是做 VR 、全景之类的在线创意服务,客户 A 定制的小程序允许用户上传头像,有恶意用户通过调用上传接口(接口允许 svg/xml ),然后 xml 被存储到了 bucket 中,接口返回了 url ,这个 url 就是上面提到的。
然后他们把这个 domain.com/xxx.xml 当成链接,引导别人访问,如上截图,会带上一些参数,再由内部的脚本解析参数,跳转到其他的页面。 客户 B 也和我们有合作,然后就是这些文件被识别到了,所在的主域名被封禁了,我们排查问题才发现这些 xml 的问题。。。。 |
|
24
bugly OP @anivie 第一次申诉会有提示是什么原因,哪些文件造成的,然后就立马删除这些文件了,并遍历了桶内的全部文件。
第二天申诉还是一样的邮件回复,一天只能提交 1 次,我们想了各种方法,比如上面提到的,都是完全一样的邮件回复,坚持申诉了一周多,感觉不会有改变,就放弃了。 |
|
25
bugly OP |
 |
26
drymonfidelia 11 小时 29 分钟前
@est 因为它用户传的是 xml 根本不是 svg ,只是 svg 本身就是 xml 的一种,它没做好检测被绕过了
|
|
27
est 10 小时 53 分钟前
@drymonfidelia 它传的就是 svg 。svg 可以用 js 来做动画。
然后黑产引导用户直接访问这个 svg 链接。这个情况下的确 js 是可以执行的。 然后腾讯检测到,就把 up 主的域名封了。 归根结底还是这个 bucket 没管理好,被人利用来传别的东西,然后当成链接分享出去霍霍了。 |
 |
28
DOLLOR 9 小时 52 分钟前
svg 内嵌 script ?这个还真没想过
|
 |
29
tes286 8 小时 48 分钟前
嗯,调用 oss 资源没有签名吗,有签名也不会被黑产引导直接访问链接吧(时效限制)。
还有一些其他的措施,可以缓解,比如加上 Referer 限制,强制将 Content-Type 设置为 application/octet-stream 和 x-content-type-options 为 nosniff ,可以部分缓解该情况。 还有一些法子,应该有用但是不太常规。比如,存图片到 oss 时,先加密,然后展示时前端解密。不用太复杂,也没必要藏密钥。总之就是让机器人识别不出这是什么东西。用 xor 就可以(虽然可能绕过,但是足够应对非针对性的攻击)。 不过最好还是别允许 svg 了吧。 |
 |
30
14 8 小时 40 分钟前
不仅仅是 svg ,上次我发现有人构造带 script 的 pdf 上传过来
|
 |
31
felixcode 8 小时 35 分钟前 via Android 1
这个腾讯关不了的站就会有人工客服了
|
 |
33
hanxiV2EX 2 小时 42 分钟前 via Android
牛逼
|
 |
34
testver 14 分钟前
被封了不奇怪,解封的过程简直是黑色幽默。
|
Select Language