V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
raysonlu
V2EX  ›  程序员

有无 dalao 知道昨晚微赞被封用的是哪个插件?

  •  
  •   raysonlu · 2020-03-16 15:05:22 +08:00 · 2464 次点击
    这是一个创建于 1712 天前的主题,其中的信息可能已经有所发展或是发生改变。

    听朋友说昨晚直播大面积被封,然后出了公告说是第三方插件被 XSS,引导用户去投诉页面了?想知道这是个什么神奇的插件,插件也能被 XSS ?

    8 条回复    2020-03-17 16:32:56 +08:00
    b821025551b
        1
    b821025551b  
       2020-03-16 15:10:19 +08:00
    很多混合开发的程序是原生+网页,而网页要与原生部分交互就必须要启用 js,所以是可以被 xss 的。
    melonrice
        2
    melonrice  
       2020-03-16 19:04:01 +08:00
    吓死我了我以为有赞被封了
    smallgoogle
        3
    smallgoogle  
       2020-03-16 19:49:18 +08:00   ❤️ 3
    微赞 xss 不是一次两次了,并且他们的程序员修复 每次都是表层修复,就是你怎么出现的 xss 他就怎么修,从来不会想到别的情况。一个位置可以被重复转义的 x。。别问我为什么。你们懂的。
    LiuJiang
        4
    LiuJiang  
       2020-03-16 20:05:31 +08:00
    @smallgoogle 大佬,NB。
    raysonlu
        5
    raysonlu  
    OP
       2020-03-17 10:09:43 +08:00
    @b821025551b 我遇见过的 XSS 问题,入口除了 URL 带参或存入库的内容外,就没了,也想不到还有什么方法可以这样大规模注入。如果是通过 html+js 与原生交互所产生的“漏洞”,那知道这洞的人应该很熟悉源码吧,而且退一步说这也不是第三方插件的问题啊~
    xyjincan
        6
    xyjincan  
       2020-03-17 10:14:12 +08:00
    6
    raysonlu
        7
    raysonlu  
    OP
       2020-03-17 10:14:46 +08:00
    @smallgoogle 难不成还真的有原生+htmljs 混合做大项目的? url 带参注入还可以理解一下,如果是让用户填写 html 内容的话不应该严格过滤 html 码?未进去过他们的直播室不知道有啥功能,也不是很懂有什么办法可以做到这样大规模的注入(纯属求学 doge )
    smallgoogle
        8
    smallgoogle  
       2020-03-17 16:32:56 +08:00
    @raysonlu 有些是转储型的 xss 比如昵称 签名这些。没过滤完整就会被触发。url 参数这些属于很低级的 xss 一般 chrome 浏览器本来就有防 xss 的机制 很低级的 xss 代码 会被 chrome 拦截掉。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3018 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 10:50 · PVG 18:50 · LAX 02:50 · JFK 05:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.