这是一个创建于 1515 天前的主题,其中的信息可能已经有所发展或是发生改变。
听朋友说昨晚直播大面积被封,然后出了公告说是第三方插件被 XSS,引导用户去投诉页面了?想知道这是个什么神奇的插件,插件也能被 XSS ?
 |
1
b821025551b 2020-03-16 15:10:19 +08:00
很多混合开发的程序是原生+网页,而网页要与原生部分交互就必须要启用 js,所以是可以被 xss 的。
|
 |
2
melonrice 2020-03-16 19:04:01 +08:00
吓死我了我以为有赞被封了
|
 |
3
smallgoogle 2020-03-16 19:49:18 +08:00  3
微赞 xss 不是一次两次了,并且他们的程序员修复 每次都是表层修复,就是你怎么出现的 xss 他就怎么修,从来不会想到别的情况。一个位置可以被重复转义的 x。。别问我为什么。你们懂的。
|
 |
4
LiuJiang 2020-03-16 20:05:31 +08:00
@smallgoogle 大佬,NB。
|
 |
5
raysonlu OP @b821025551b 我遇见过的 XSS 问题,入口除了 URL 带参或存入库的内容外,就没了,也想不到还有什么方法可以这样大规模注入。如果是通过 html+js 与原生交互所产生的“漏洞”,那知道这洞的人应该很熟悉源码吧,而且退一步说这也不是第三方插件的问题啊~
|
 |
6
xyjincan 2020-03-17 10:14:12 +08:00
6
|
|
7
raysonlu OP @smallgoogle 难不成还真的有原生+htmljs 混合做大项目的? url 带参注入还可以理解一下,如果是让用户填写 html 内容的话不应该严格过滤 html 码?未进去过他们的直播室不知道有啥功能,也不是很懂有什么办法可以做到这样大规模的注入(纯属求学 doge )
|
|
8
smallgoogle 2020-03-17 16:32:56 +08:00
@raysonlu 有些是转储型的 xss 比如昵称 签名这些。没过滤完整就会被触发。url 参数这些属于很低级的 xss 一般 chrome 浏览器本来就有防 xss 的机制 很低级的 xss 代码 会被 chrome 拦截掉。
|
Select Language