论坛可以简单的理解为一个发帖讨论回帖的网络平台,国内著名的是Discuz和phpwind,程序开发者都明白一句重要的话:不要相信任何用户的输入,因为你不知道通过密密麻麻的网络数据流的另一端究竟是什么东西,就算你是一条狗,也不会有人知道。更何况还有着上百万的黑产从业者,网络程序的繁杂导致开发人员很难面面俱到,撞库,爆破,扫描···每时每刻都在发生,自动化测试,安全评估,访客日志,多方面参考,也不能保证100%的健壮性,有时候上线反而是最紧张的时候,因为你不知道你的客户究竟会做些什么,产品经理中广泛流传:把用户当成傻子。这是为了应用的人机交互符合人性行为。俗话说:林子大了什么鸟都有,客户往往并不能真正理解开发者的意图。
今天遇到一个别人程序的bug,是国内某开发者开发的一款论坛,表面看已经非常成熟,注册,验证码登录,邮箱找回,私信,帖子分类,高亮字体,积分购买······
周末闲来无事,把论坛程序上传到了自己的VPS,访问,没有任何问题,速度也非常快,都在0.x毫秒,MVC架构,排版也是很棒。
进入后台,选项非常多,但是繁而不杂,井井有条,非常棒,而且有用户分组,批量管理,可以说这个论坛开发者是认真的在做。
然后发了几个帖子,注册了几个用户,没有明显问题。图片外链,统计代码,第三方css,用户中心,一切ok。
似乎一切非常完美
但是,不经意间一次点击,没有内容竟然发出去了帖子!!!!!!拿出BP,先抓个发帖包,好像有个地方有问题,修改发包数据,GO,可以绕过验证,可以无内容,这个bug对于一个论坛程序来说就是致命的啊,分分钟ad spam bot让论坛陷入一片垃圾中。界面漂亮只能是论坛的加分项,而基础验证可以被绕过,再漂亮的界面有毛用!
既然这么容易被发现一个bug,其它方面应该还有,继续测试,下一项XSS。
但是不想审查源代码,就弄个自动化工具测试。
很快有了第二个bug,这个论坛插件和主题是线上安装的,在某个路径下可以直接遍历主题源代码,并且知道安装了什么插件,这个场景很熟悉,没错在WP中这就是一个安全漏洞,这个论坛中也存在,论坛本身安全性未知,然后,却可以遍历插件,插件的安全性相对来说就低了很多,这里不想浪费太多时间,没有具体分析插件。但是绝对是一个入侵方式。
接着第三个bug,解析错误,作者没有用成熟的开源编辑器,而是自己撸了一个,毕竟造轮子是程序员的G点,但是作者自己撸的这个编辑器解析方式有问题,插入链接是用的严格模式,如果没有链接协议,会把插入的链接作为子目录地址,而作者的404判断正则中却没有意识到会有这种情况,于是,XSS就产生了。不多说,懂得自然懂。
九层之台起于垒土,合抱之木生于毫末,千里之行始于足下,基础完善其它都是锦上添花,基础不完善其它就是海市蜃楼。
网友评论