 |
pytthV2EX 第 346445 号会员,加入于 2018-09-02 11:44:22 +08:00 |
pytth 最近回复了
5 天前 回复了 zzlettle 创建的主题 › Android › 推荐个安卓机,用来备用的 |
Redmi Note 15 Pro
11 天前 回复了 sk217 创建的主题 › macOS › 高强度使用黑苹果 5 年 ,针对黑苹果,我讲句公道话 |
玩过黑苹果,玩腻了,直接买了 M2 的 air
12 天前 回复了 gotoschool 创建的主题 › 程序员 › 自己想搭建个支付宝和微信个人收款 用哪个合适啊 |
只有 2 种,一个是官方接口,无论是自己开还是服务商。另一个是非官方接口,那么就是通过歪门邪道做的一些监听软件做的支付。
12 天前 回复了 huangyouzhuguxi 创建的主题 › 程序员 › 网页版的 im |
23 天前 回复了 bugly 创建的主题 › 程序员 › 一次 XML 上传导致域名被封的经历复盘(腾讯网址安全中心是不是只剩下机器人了) |
@mengdodo 防不住,除非你上传的时候做二进制核验,读取文件的真实数据,进一步拦截伪造的图片文件。攻击者会将 test.html 修改后缀名为 test.png ,然后 test.png 内是 html 代码,其中 html 代码前面包含了图片头信息,二进制信息,可以绕过上传检测。,上传后得到 https://xxxxxx.oss-cn-hangzhou.aliyuncs.com/file/test.png ,执行后虽然是一个加载不出来的图片,但是,拼接 response-content-type 就可以指定这个文件的执行类型,例如:
https://xxxxxx.oss-cn-hangzhou.aliyuncs.com/file/test.png?response-content-type=text/html ,意味着 test.png 会以 text/html 类型执行,那么 test.png 等同于 test.html 了,里面的 js 就会被执行,除非你有严格的对象存储配置,禁止这样的参数去定义执行类型。
https://xxxxxx.oss-cn-hangzhou.aliyuncs.com/file/test.png?response-content-type=text/html ,意味着 test.png 会以 text/html 类型执行,那么 test.png 等同于 test.html 了,里面的 js 就会被执行,除非你有严格的对象存储配置,禁止这样的参数去定义执行类型。
25 天前 回复了 bugly 创建的主题 › 程序员 › 一次 XML 上传导致域名被封的经历复盘(腾讯网址安全中心是不是只剩下机器人了) |
现在黑产因为需要依赖微信内的正常访问的域名,自己注册域名的风险很高,因此是每天都要去挖漏洞,来避免一些问题,1 是避免被查; 2 是降低域名的开销; 3 是减慢被封的速度;尤其是大厂大公司知名企业的域名,很多黑产都是比较喜欢的,因此腾讯、百度、网易、小米、美团、新浪、阿里等企业的域名很多都存在 XSS 以及文件上传漏洞。
-
常见于以下地方:
1 、微信小程序头像上传、反馈、发布;
2 、APP 的头像上传、文件上传、实名认证、营业执照上传等地;
3 、网页的文件上传例如富文本编辑器、头像上传、附件上传;
-
漏洞常见问题:
1 、对象存储可通过重放,html 文件改后缀为 png 即可上传,一般没有做文件类型校验的对象存储;
2 、重放时 Content-Type:image/png ,改为 text/html 也可以轻松绕过,仍然是文件类型校验不严谨所致;
3 、验证 Content-Type 和后缀名,但是并未验证真实的二进制数据,在 html 代码中混入图片的头信息当然可以传上去;
4 、后缀名只限制 html ,但是未限制 htm\xhtml\xhtm\shtml\mhtm 等类型,这些仍然存在上传的风险;
5 、未限制 svg 和 xml 的上传,这些是存在执行 js 代码的风险的;
6 、对象存储容易通过 URL 传递?response-content-type=临时改变文件执行类型,上传的是 png ,链接虽然得到,但是无法执行 html ,对象存储可以拼接 ?response-content-type=text/html 即可将 png 作为 html 执行,即可出发 js 代码
-
以上是本人分析过很多很多黑产的一些常见案例。
-
常见于以下地方:
1 、微信小程序头像上传、反馈、发布;
2 、APP 的头像上传、文件上传、实名认证、营业执照上传等地;
3 、网页的文件上传例如富文本编辑器、头像上传、附件上传;
-
漏洞常见问题:
1 、对象存储可通过重放,html 文件改后缀为 png 即可上传,一般没有做文件类型校验的对象存储;
2 、重放时 Content-Type:image/png ,改为 text/html 也可以轻松绕过,仍然是文件类型校验不严谨所致;
3 、验证 Content-Type 和后缀名,但是并未验证真实的二进制数据,在 html 代码中混入图片的头信息当然可以传上去;
4 、后缀名只限制 html ,但是未限制 htm\xhtml\xhtm\shtml\mhtm 等类型,这些仍然存在上传的风险;
5 、未限制 svg 和 xml 的上传,这些是存在执行 js 代码的风险的;
6 、对象存储容易通过 URL 传递?response-content-type=临时改变文件执行类型,上传的是 png ,链接虽然得到,但是无法执行 html ,对象存储可以拼接 ?response-content-type=text/html 即可将 png 作为 html 执行,即可出发 js 代码
-
以上是本人分析过很多很多黑产的一些常见案例。
25 天前 回复了 bugly 创建的主题 › 程序员 › 一次 XML 上传导致域名被封的经历复盘(腾讯网址安全中心是不是只剩下机器人了) |
svg 是可以执行 js 的,大家需要注意,下方是示例代码:
```
<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 360 640" preserveAspectRatio="xMidYMid meet" xmlns:xlink="http://www.w3.org/1999/xlink">
<style>
text {
font-size: 24px;
text-anchor: middle;
dominant-baseline: middle;
fill: #333;
}
a {
text-decoration: none;
}
</style>
<a xlink:href="https://www.baidu.com">
<text x="50%" y="10%" id="hello">loading...</text>
</a>
<script type="application/ecmascript">
<![CDATA[
setTimeout(function() {
var textElement = document.getElementById('hello');
textElement.textContent = "点击跳转";
}, 1500);
]]>
</script>
</svg>
```
保存为 test.svg 双击即可运行 js 代码,改成 test.xml 也是一样的道理。
```
<svg xmlns="http://www.w3.org/2000/svg" viewBox="0 0 360 640" preserveAspectRatio="xMidYMid meet" xmlns:xlink="http://www.w3.org/1999/xlink">
<style>
text {
font-size: 24px;
text-anchor: middle;
dominant-baseline: middle;
fill: #333;
}
a {
text-decoration: none;
}
</style>
<a xlink:href="https://www.baidu.com">
<text x="50%" y="10%" id="hello">loading...</text>
</a>
<script type="application/ecmascript">
<![CDATA[
setTimeout(function() {
var textElement = document.getElementById('hello');
textElement.textContent = "点击跳转";
}, 1500);
]]>
</script>
</svg>
```
保存为 test.svg 双击即可运行 js 代码,改成 test.xml 也是一样的道理。
40 天前 回复了 LivenStar 创建的主题 › NAS › 用笔记本做个 NAS,用什么系统好用点 |
@yusercxt 2.5 寸的硬盘使用 USB 就可以供电
40 天前 回复了 pytth 创建的主题 › NAS › 21 元 diy 了一个钢结构的 NAS 机箱,旧笔记本电脑发挥余热! |
2025-08-29 ,这台 NAS 仍然在运行,使用良好!!!
Select Language