Question

私信和反馈功能在大多数网站中都能见到，特别是社交应用，私信是必不可少的功能。这个功能是两个用户之间互动使用，两端都是人，除了特殊情况下可以滤去的 SQL 注入或者命令执行等少见漏洞外，最常见的就是 XSS 漏洞以及越权漏洞。

近年流行的 XSS 盲打平台把 XSS 漏洞推向了利用高潮，XSS 盲打是指在不确定能否利用的情况下输入 XSS 代码进行不可预知的攻击，而这正是利用了私信和反馈这些功能，因为这些功能可以直接跟管理员沟通，利用其中存在的 XSS 漏洞拿到管理员 cookie 数据。我们来看乌云网的一个例子：

缺陷编号：WooYun-2015-118779

漏洞标题：爱鲜蜂 app 某处可盲打已入后台

相关厂商：爱鲜蜂

漏洞作者：路人甲

在应用的意见反馈处插入 XSS 代码，如图 11-15 所示。

图 11-15

当管理员在 Web 后台查看反馈后，即可获得管理员的 cookie，如图 11-16 所示。

图 11-16

最后利用 cookie 登录后台，如图 11-17 所示。

图 11-17

对于私信和反馈的 XSS 漏洞防御并没有什么特别的手段，跟我们之前介绍过的 XSS 防御方法一样，最主要的是将特殊字符进行过滤，另外是使用白名单和黑名单结合的方式。