V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
idragonet
V2EX  ›  程序员

帮朋友做的公司网站给当地网安大队通知有漏洞

  •  
  •   idragonet · 178 天前 · 7929 次点击
    这是一个创建于 178 天前的主题,其中的信息可能已经有所发展或是发生改变。

    “跨站脚本攻击”...幸好网站是自己写的,很快修复了。如果是第三方 PHP 系统搭建那就够呛。

    39 条回复    2023-10-26 12:44:58 +08:00
    HelloWorld556
        1
    HelloWorld556  
       178 天前
    咋解决的,如果用 PHP 搭建会不会就没这个漏洞了
    idragonet
        2
    idragonet  
    OP
       178 天前   ❤️ 1
    @HelloWorld556 #1 .NET Core 写的,过滤用户输入特殊字符串即可。
    musi
        3
    musi  
       178 天前   ❤️ 1
    @HelloWorld556 这跟语言有啥关系
    idragonet
        4
    idragonet  
    OP
       178 天前
    反正之前用第三方 PHP 系统搭建的网站经常给篡改网页,都怕了。
    N9f8Pmek6m8iRWYe
        5
    N9f8Pmek6m8iRWYe  
       178 天前
    搭个前置 WAF ,常见攻击就免疫了
    Conantv2
        6
    Conantv2  
       178 天前   ❤️ 3
    遇到过,不过我那个整改通知很白痴,不过也改了,算是帮他们冲下业绩。

    第三方 PHP 建站系统防御其实也很简单的,Nginx 配置两个站点,一个源站做管理站,一个公开站。公开站在 Nginx 反代源站,只接受 GET 请求,并且过滤 URL 参数,神仙来黑不了。源站另一个子域名,配置开源系统以外的访问限制,比如要求特定 UA ,然后给客户浏览器装修改 UA 扩展,配置好 UA 字符串。
    HelloWorld556
        7
    HelloWorld556  
       178 天前
    @musi 我不会 PHP ,他说的用 PHP 搭建,我理解是有什么脚手架生成,可能会避免这个问题
    idragonet
        8
    idragonet  
    OP
       178 天前
    @Conantv2 #6 “Nginx 反代源站,只接受 GET 请求”这个思路不错。
    thinkm
        9
    thinkm  
       178 天前
    网上大部分基于 PHP 的系统,都是一身洞
    GeorgeGalway
        10
    GeorgeGalway  
       178 天前   ❤️ 12
    @idragonet #4 这种乱扣帽子的行为看到就直接 B
    wheat0r
        11
    wheat0r  
       178 天前
    @stevenchengmask 好多网站写的太屎,前置一个 WAF ,页面功能都异常了😂
    chperfect
        12
    chperfect  
       178 天前
    不是,网安大队帮忙扫描 bug 的嘛?是不是 内部应用。
    justFxxk2060
        13
    justFxxk2060  
       178 天前
    我们这里扫了 bug ,还贴心的介绍了第三方工作做加固,16 万 8
    后来协商了做一次加固,一份报告,1 万块
    justFxxk2060
        14
    justFxxk2060  
       178 天前
    我们这里扫了 bug ,还贴心的介绍了第三方公司做加固,16 万 8
    后来协商了做一次加固,一份报告,1 万块
    BeforeTooLate
        15
    BeforeTooLate  
       178 天前
    PHP 躺枪啊,防注入现在框架基本做的很好了,你用的肯定不是主流框架吧,是不是 n 年不更新的后台管理系统。
    Conantv2
        16
    Conantv2  
       178 天前
    @chperfect #12 网络与信息安全信息通报中心,了解一下,各省都有。网络安全法发布之后,各地网安自己跟合作单位都会在互联网上扫描,查到漏洞就会通知网站负责人整改,不改就处罚。
    vaaagle
        17
    vaaagle  
       178 天前   ❤️ 1
    大概意思,看起来像是 xss 漏洞。这锅我个人感觉 PHP 可不想背~
    clue
        18
    clue  
       178 天前   ❤️ 2
    xss 啊,这个和后台关系不大,后台过滤只是帮前台擦屁股;如果用成熟的 vue/react 这样的框架,并且不使用 v-html 等强行设置不转义的 html ,基本不会有 xss 漏洞
    codespots
        19
    codespots  
       178 天前
    @clue 恰恰相反,应该是前端帮后端擦屁股
    clue
        20
    clue  
       178 天前
    @codespots #19 健壮的前端,是可以显示任意字符的,除非原始需求就是要支持用户输入 html ,否则应该一律按文本展示,这时是不会存在 xss 漏洞的
    lozt
        21
    lozt  
       178 天前
    @clue 明显是后端没做好吧,接口层面的 xss... 前端校验、防 xss 做再多也只是页面交互层面的
    lupus721
        22
    lupus721  
       178 天前
    网安可以说扫就扫么,万一扫挂了算谁的。。

    14 楼值得多理解理解
    leefor2020
        23
    leefor2020  
       178 天前
    @justFxxk2060 ,怎么听起来感觉像是创收...
    woshihgs
        24
    woshihgs  
       178 天前
    @codespots #19 前端只是交互而已,最终到达的还是得后端处理
    BigShot404
        25
    BigShot404  
       178 天前   ❤️ 1
    我现在知道 ucloud 香港段那群 bot 是用来干嘛的了。
    okakuyang
        26
    okakuyang  
       178 天前
    xss 有后端的也有前端的,后端就是把攻击者把恶意脚本通过各种上传漏洞,变成了用户正常网页的一部分,从而破坏网页,窃取用户机密。
    okakuyang
        27
    okakuyang  
       178 天前
    @okakuyang 前端的就是从 url 注入了恶意脚本,诱导用户点击,从而攻击。
    julyclyde
        28
    julyclyde  
       178 天前
    @leefor2020 创收是勒令你去做等级保护认证
    maxssy
        29
    maxssy  
       178 天前
    @idragonet #2 这功能 PHP 都是自带的
    saberlove
        30
    saberlove  
       178 天前   ❤️ 1
    还不如 PHP 的框架 。。。
    zjsxwc
        31
    zjsxwc  
       178 天前
    都能 js 注入了,

    你还不如直接用主流的 php 框架。
    flyqie
        32
    flyqie  
       178 天前 via Android
    有没有可能,你用的第三方程序并不靠谱。

    靠谱的第三方程序比你自己写的安全问题少多了。

    并且是否篡改跟你服务器安全防护也有关系,程序再靠谱你服务器安全防护不靠谱也是白费。
    Liftman
        33
    Liftman  
       178 天前
    网安技术支撑+等保人 来解释下,这个不是地方行为,是上级扫的。无时无刻不在盯着扫描的。特征一抓一堆的。按要求整改就行了。 能被 xss 攻击说明开发经验薄弱。因为这个属于常识问题。商用不会遇到。hw 都不收 xss 的基本上。
    Tink
        34
    Tink  
       178 天前
    这网安还是干事的啊
    zhanglintc
        35
    zhanglintc  
       178 天前
    “给”还是“被”?
    GeekGao
        36
    GeekGao  
       177 天前
    记住一句话:无利不起早,至于是啥样子的利益链条…我在说梦话。
    lp7631010
        37
    lp7631010  
       177 天前
    避免 xss 最好的办法就是避免直接输出,现在主流的 php 框架,都是用模板引擎,模板引擎你不强制输出原代码的话,是会自动过滤掉 xss 攻击的,就不存在有这个问题。前后端分离项目的话,比如 vue 这种前段框架,自己不骚操作的话,输出显示内容也是会自动过滤掉 xss 攻击的。

    归根到底还是水平问题。。。
    iisboy
        38
    iisboy  
       177 天前
    这不是正常操作么?配合整改就是了。
    zzlyzq
        39
    zzlyzq  
       177 天前
    如果需要,我可以帮你安装 safeline ,并使用 awvs 扫描网站进行安全检测。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2944 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 13:40 · PVG 21:40 · LAX 06:40 · JFK 09:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.