[典型漏洞分享]从一个手动分析的反射型XSS漏洞看待一个安全设计原则【中危】

这是在测试YS“本地相册”功能时发现的一个反射型XSS，自己在安全测试过程中也发现过不少XSS漏洞，唯独这个的发现过程有点区别。

在此之前，我在测试另外一个模块的功能接口的时候发现了一个反射型XSS，当我在测试“本地相册”这个功能的时候，当我用burp拦截到HTTP请求时，发现该请求有3个参数，仔细观察，发现这3个参数居然和之前有XSS漏洞的接口的参数是一模一样的，但是有区别的地方：两者接口名称（action）是不一样的，两者参数个数不一样，之前的是4个，“本地相册”是3个，之前出现漏洞的第4个参数在“本地相册”接口上并没有出现，于是乎自觉告诉我这里可能会有问题，我本能的在“本地相册”接口上添加了第4个参数，提交后查看返回，后台居然未经处理原样返回！于是乎就产生了这个漏洞。以此推测，开发的兄弟应该是复用了之前有漏洞的接口的代码，然后在此基础上做的修改，而复用时间点是在我发现之前那个接口的漏洞之前，所以导致一连串的漏洞存在，后来经过完整的排查，还发现了另外两个接口也复用了同一份代码，同样存在这样的问题。

总结：挖漏洞的过程需要善于观察和反复思考，该案例体现了一个安全设计原则性问题，即存在漏洞的代码可能会被其它组件或产品“继承”，导致漏洞扩散，因此，在排查处理漏洞时，切不可单点处理，而应平行排查到面，减少漏洞再发生的概率。

YS“本地相册”功能存在反射型XSS漏洞【高】

问题描述：

本地相册功能的XXX接口的YYY参数存在反射型XSS漏洞。注意：漏洞参数是本人手动添加上去的，正常提交不会存在。

测试步骤：

反射型XSS漏洞的验证：

1、  登录YS，选择 视频库à本地相册，点击图片，如下图所示：

2、  在请求的URL中增加cameraId参数（注意：原来是没有的），如下图所示：

3、  从服务器返回的数据可以看到，插入语句在js标签之间输出，如下图所示：

4、  执行结果：

问题扩展：

XSS可对用户进行攻击并盗取cookie。

解决建议：

使用javascript输出转义来解决输出数据在js标签之间的XSS