一年前互聯(lián)網(wǎng)貨代公司Flexport為了提高其客戶數(shù)據(jù)的安全性，與我們HackerOne平臺(tái)建立了合作關(guān)系。HackerOne作為全球知名的bug賞金平臺(tái)之一，允許所有安全愛好者或?qū)I(yè)的滲透測(cè)試人員，來提交他們的漏洞報(bào)告并給予相應(yīng)的獎(jiǎng)勵(lì)。從與Flexport合作至今，我們已經(jīng)收到了近200份的漏洞報(bào)告，包括從nginx頭移除服務(wù)器令牌到XSS漏洞。以下是我們?cè)谶@200份報(bào)告中挑選出的最有意思的6個(gè)漏洞。

1.刪除按鈕中的XSS

在啟動(dòng)我們的這個(gè)bug賞金計(jì)劃時(shí)，我們并沒有想到會(huì)收到任何關(guān)于XSS的有效報(bào)告。畢竟，React有內(nèi)置的安全防護(hù)策略。但事實(shí)并非如此，我們收到的第一個(gè)報(bào)告就讓我們感到非常震驚，這是一個(gè)關(guān)于存儲(chǔ)型XSS的漏洞。

　　形成原因

當(dāng)時(shí)我們使用Bootbox來顯示錯(cuò)誤消息并創(chuàng)建確認(rèn)對(duì)話框。而Bootbox獨(dú)立于React管理其DOM元素，并未受到React的XSS保護(hù)。因此，當(dāng)用戶直接將輸入放在確認(rèn)對(duì)話框中就會(huì)形成一個(gè)存儲(chǔ)型的XSS漏洞。

修復(fù)

短期修復(fù)：在將任何用戶輸入傳遞給Bootbox之前，先過濾所有可能的XSS標(biāo)簽（例如可以使用JSXSS模塊）。

長(zhǎng)期修復(fù)：將Bootbox轉(zhuǎn)移到基于React的確認(rèn)模式。

吸取的教訓(xùn)

React雖然可以在一定程度上為我們防護(hù)XSS，但并不意味著所有的代碼都是安全的。我們不能輕易信任在React之外運(yùn)行的庫文件，最好是減少或者避免使用那些未知的庫文件。

2. Markdown處理中的XSS

在修復(fù)Bootbox并對(duì)其它類似庫進(jìn)行檢查后不久，我們又收到了另一份關(guān)于XSS漏洞的報(bào)告。這次的問題是出在我們的Markdown渲染中。

形成原因

我們?cè)谖谋究蛑兄С諱arkdown，并使用了