bugly: 事件背景 今年二月为客户开发了一个小程序页面，其中包含用户自定义头像功能。在上传白名单中，我们误将 xml 文件当作 svg 格式放行（后端校验存在疏漏）。不过很快就发现并修复了 bug ，但忽略了这一点竟然已被灰产利用，少数 xml 文件被上传至 OSS 。 问题根源 谁也想不到，这些仅 3KB 大小的 xml 文件中竟含有一行可执行的外部 JS 恶意脚本的代码。它们静静地存储了数月，直到被某些“有缘人”访问触发（看起来访问后会跳转到其他的链接，用来隐藏入口）。 遭遇危机 八月，我们为客…