关于cnodejs官网的XSS和CSRF
发布于 2年前 作者 DoubleSpout 5546 次浏览

自从我在cnodejs官网上发布了一篇关于《xss和csrf讨论》的文章后,cnodejs开始了一轮xss注入热潮,各种alert弹窗,自动回复以及修改页面等等。最后袁锋(suqian)只能将所有的markdown标签的html标签禁用,才平息了这场风波。 但是真的将所有的html标签都禁用了就没有漏洞了吗? 感兴趣的同学可以去我的博客原文看看,传送门如下 以下是正常的url地址,没有注入: http://snoopyxdy.blog.163.com/blog/static/60117440201281294147873/

113 回复

第一次看到咱们老大中文的名字, 为什么和拼音对不上呃…

各种注入…各种攻击…人类已经无法阻止黑客技术的泛滥了?no,肯定难不倒我们,支持你们!!!

用chrome的同学伤不起啊~哎

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

尼玛呀。。。这是谁用我的号发的回复。。干

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

浪费了一上午写注入代码,哎,下午要干活了,不然要被老板K了~

什么情况?现在这个漏洞已经chrome,ff,ie通吃了,看楼下们,哈哈

好吧。。我中招了。。LZ木有JJ。

我崇拜snoopy,他是英雄!

@snoopy 一直以为老大叫苏千,… 因为那个拼音是那样写的很像个名字 >_<

@jiyinyiyong 好像是叫袁锋啊,我没记错的话~

@jiyinyiyong 我没权限修补的啊

@snoopy 直接 Github 上 Folk 呀, 提交 request 应该就可以了啊

@snoopy 那必须有一个只能是花名 @_@

嘿嘿,不错。。。

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

@suqian,人类已经无法阻止cnodejs被XSS了!

@suqian,人类已经无法阻止cnodejs被XSS了!

人类已经无法阻止cnodejs被XSS了!

人类已经无法阻止cnodejs被XSS了!

人类已经无法阻止cnodejs被XSS了!

人类已经无法阻止cnodejs被XSS了!

我崇拜snoopy,他是英雄!

人类已经无法阻止cnodejs被XSS了!

人类已经无法阻止cnodejs被XSS了!

人类已经无法阻止cnodejs被XSS了!

人类已经无法阻止cnodejs被XSS了!

人类已经无法阻止cnodejs被XSS了!

人类已经无法阻止cnodejs被XSS了!

@snoopy 求修补。。。

人类已经无法阻止cnodejs被XSS了!

好吧。。。我将双引号搞掉。 @snoopy

人类已经无法阻止cnodejs被XSS了!

@snoopy 佩服snoopy的强大,也拜读在网易博客上的文章《CSRF攻击实例,注入cnodejs.org官网 》http://snoopyxdy.blog.163.com/blog/static/60117440201281294147873/?latestBlog

但是小弟觉得,这是使用了XSS的漏洞,但发起攻击的站点不是其他站点而是cnodejs,因此不算是CSRF攻击,由此也无法说明“_csrf 防御CSRF (有点拗口,不难理解吧)是毫无用处的”。

csrf顾明思议应该是跨站(cs)的,例如在snoopy博客作为攻击,诱骗用户点击链接,实际为发送请求到cnodejs来follow他,我觉得这才是csrf。_csrf我没有接触过,但字面理解是一个生成随机码,并且和服务器session校验的一个模块,它理论上还是能防住上面所说的跨站follow的。snoopy在博文中说_csrf“就好比一闪铁门上了一把铁丝那样粗的链条锁”,那是因为xss这个无间道帮忙开的锁。

小弟初接触安全这块,理解可能有误,请指正。

我崇拜snoopy,他是英雄!

嗯你说的是对的,这次攻击不能算是CSRF,他其实是通过XSS脚本注入以后的请求伪造,是属于CSRF和XSS的结合,但也不能就归为XSS攻击。 概念这种东西就不深究了,我那句话是不够严谨,需要加上一个前提,如果站点被XSS脚本注入以后,防御csrf的token将会失效。 所以一旦脚本注入成功以后token将被暴露,所以无论请求是当前站点发起的,或者是其他站点发起的都可以达到相同的效果。 同样如你所说如果站点没有被脚本注入,那么token还是很靠谱的防御手段 谢谢你的捧场哦~

嗯双引号必须摘掉的,还有单引号也要摘掉!

@suqian 还有在图片或者超链接的用户输入最好都要去匹配下是否是正常的路径,比如必须带http或者https打头的那种,网上有url路径判断的正则的,如果输入不判断就输出判断也可以,发现正则匹配不通过,直接干掉!

是不是一个网站有漏洞了就hi变得这么火?大家都纷纷来测试刷屏了。

@suqian 已经pull request了,img的src漏洞目前没有修补,只针对IE6有效,我想问题不大,把A标签的href漏洞修复了下

我崇拜snoopy,他是英雄!

@snoopy 大牛确实做得和教得很精彩,学习了。

我崇拜snoopy,他是英雄!

@suqian 你还没走啊?你要参加下午的活动的吧?我今天晚上到上海不过来了。那个代码你本地跑一下再发布哦,我没测试,呵呵~

袁锋,花名苏千,淘宝网数据产品部资深Web 开发工程师,CNode.org 社区核心成员。

哈哈, 我是故意中招的

我崇拜snoopy,他是英雄!

人类已经无法阻止cnodejs被XSS了!

@snoopy 再写篇OOXX的文章吧,这个世界已经疯狂了!

@snoopy 再写篇OOXX的文章吧,这个世界已经疯狂了!

刷了几分钟,粉丝涨了14个,娃哈哈

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

safari也可以~~~

如果要修补的话.cnode上面好多代码都需要修补。主要是代码太乱,太纠结。发现了也懒得去修补。

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

@snoopy 再写篇OOXX的文章吧,这个世界已经疯狂了!

@snoopy 再写篇OOXX的文章吧,这个世界已经疯狂了!

XSS真好玩,我又无聊了~~~

XSS真好玩,我又无聊了~~~

這個自動回覆?話說那天現場snoopy被微軟的那個哥們鄙視了

哇哈哈,说一下@snoopy 怎么被鄙视的,让大伙乐一下

XSS真好玩,我又无聊了~~~

XSS真好玩,我又无聊了~~~

XSS真好玩,我又无聊了~~~

XSS真好玩,我又无聊了~~~

XSS真好玩,我又无聊了~~~

XSS真好玩,我又无聊了~~~

我准备把你的JJ切了。。你这样注入是不对的,String.fromCharCode可以接收多个参数的,不用这么麻烦~还bind,这样对于不支持ECMA5的浏览器无效的,比如IE8

@snoopy 又学到了。。。。上cnodejs的有几个用IE8的啊

XSS真好玩,我又无聊了~~~

[enter link description here][1]

[1]: javascript:alert%28123%29

@leizongmin 我用ie8.。。。尴尬

呃,你说的就是这个情况吧, 发危险脚本导致页面内容被破坏? 是xss()导致的, 也不用担心,发正常的内容时不会影响页面的. 你可以再试试xss攻击, 看看能不能攻陷新防线!

XSS真好玩,我又无聊了~~~

XSS真好玩,我又无聊了~~~

XSS真好玩,我又无聊了~~~

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

我崇拜snoopy,他是英雄!

擦,大家知道就OK,别玩火。。。社区需要这样人,但是不需要作恶的人。

回到顶部