XSS漏洞!你关注了吗?或者说你重视了没?某些互联网企业对于这一漏洞的态度是直接忽略。但这个XSS漏洞在Gainover眼里还可以做很多事。对了,忘记说了,Gainover是一位生物学博士。
以下是Gainover的演讲全文:
XSS是一个非常古老的漏洞,但是在互联网里还是普遍存在的。我今天给大家看一看,为什么说它普遍存在,是存在什么样的程度?
我实际上是一个不严肃的人,我是一个喜欢卖萌的人。我来过两次北京,上次路过北京天安门,但是我是在天安门地铁下面,所以我天安门也没看到就回去了,我来是为了一个会议,这个会议叫做中国细胞生物学大会。
大家认识我的以为我是搞计算机的,实际上我是一个生物研究工作者。当然,你不要问我,转基因到底有没有危害?这个其实我也不是很好明确地回答你们。但是你们可以问我,XSS漏洞是什么?
这个东西我不会多讲,我可以简单地说一下,当你浏览一个正常页面的时候,如果这个正常页面能够被攻击者在里面插入恶意代码,来执行他们目的的话,我们可以说这个页面存在XSS漏洞。
这个可以是网站本身的代码问题,也可以是用来渲染这个浏览器本身存在的问题,都可以导致XSS漏洞。什么是XSS漏洞挖掘呢?就是你想办法把网页插到别人的网页中去。今天的关注点在XSS漏洞利用上,这个在乌云上有很多案例了,大家平时用的最多的,用XSS来窃取客户的Cookies,这个在乌云推出来一个XSS漏洞利用平台,这个攻击实际上被推到了顶峰。
后来有一些厂商,百度后来把这个机制加上,用来缓解XSS漏洞利用方式。乌云还有一个导致XSS漏洞利用,叫XSS盲导。这点由于简单粗暴的方式,也导致大家把这个发挥到极致了。还有三类,我用红色图标给标出来的,也是将XSS危害发挥到极致的方式了。
大家听说过XSS是蠕虫,它会放大的,有了XSS蠕虫,像微博,百度贴吧,都发生过这个蠕虫案例的。我在这里说一下,黑客可能发一条微博,这个链接里会有恶意代码,当客户点击黑客发布的内容或者链接之后的话,这个代码会让用户自己也发条微博,这里同样也会发这个恶意代码。
这样的话,含有恶意代码的微博会呈现几何级增长的,所以可以在很短时间内得到很大的爆发量,这对社交网络来说是危害很大的攻击方式。
另外,XSS分布式服务攻击,这个一直是停留在概念上的东西,这段时间有一个实际案例,就是利用搜狐视频漏洞进行攻击,这是老外先报出来的,国外媒体也纷纷报道了。
这个实际上,黑客在大的网站,像搜狐视频网站里去插入这样一个恶意代码,当用户访问大流量网站,比如在观看视频的时候,用户浏览器会自动执行黑客命令,黑客命令可能会向他所要攻击的目标网站,一秒钟发出请求,搜狐有十万客户观看这个视频的话,就呈几何级的增长,这样使目标网站停止服务了。
这个案例也是我们团队发在乌云上的一个案例,这叫水坑攻击,这个在XSS,我们现在把这个概念结合起来了,恩为什么叫水坑攻击?就是有时候我们要去攻击某个目标的话,实际上是你很难接触到它的,在这个时间里,比如说李开复,我们想去给李开复发一个链接,都很难直接发的,我们不知道他的联系方式什么的,想直接攻击他是不可能的,但是我们是可以知道李开复会去上36k的,我们可以在这里植入XSS,在我们等四天之后,李开复中了我们XSS,我们当时结合QQ的漏洞,就是让李开复关注了乌云漏洞报告平台,在这个过程中不光李开复受到影响了,还有其他的,只要经常上36K的,36K只是其中一个网站,我们还会在很多网站上插入这个XSS。为什么叫水坑攻击?
比如你在大草原的话,比如说我是狮子的话,我想找猎物,但是大草原太大了,我哪里去找呢?但是动物都喝水,我就蹲在水坑等着,等动物来喝水我就把它捉到了。
大家要注意这个漏洞有一个特点,第一个,实际上我们在36K插入XSS的话,实际上并不是36K本身网站的漏洞,它本身网站我们也没去找,是因为36K在当时用了第三方的评论插件,我忘了叫什么名字了,这个插件本身是有漏洞,我们可以往里插恶意代码,这样的话在36K在第三方评论插件劫持了QQ漏洞,然后使李开复关注了乌云漏洞平台。
实际上36K对我们一点用没有用,我们要劫持的是QQ的信息。
虽然说我前面讲了XSS利用方式有这些,可能还有其他方式,我这里没有提及。厂商和攻击者对XSS分别是什么样的态度呢?实际上XSS漏洞相比传统的,它的危害确实要小很多,对于一些厂商来说的话,特别是国内的一些厂商,这种类型的漏洞就像牛皮癣一样,清都清不完,它一直存在。厂商有的时候要么修,要么有的觉得域名不重要就不修了。
对攻击者来说,实际上XSS可以干很多事情,首先,可以获取个人信息,这个待会儿我要给大家演示的。
第二个,XSS是用来伪造钓鱼页面,实际上我平时身边也有人在淘宝上买东西,别人告诉他退款,让他输入银行帐号密码什么的,可能前面装的很像,但是容易露馅的就是发来乱七八糟的域名,就让人警觉。如果配合XSS漏洞的话,在域名或者页面上很难判断是页面自己的还是黑客构造出来的,这对用户来说很难区分出来的。
这个黑色产业已经在这样做了,在乌云上有一个实际案例,就是利用搜狗拼音来钓鱼的案例。
现在是应题了,叫一个被忽略的漏洞。这个漏洞是在2013年发布出来的,叫优库分站一个存储型XSS漏洞。这个漏洞是被优酷忽略的,这个漏洞不光危害是高,而且很高。这个是发漏洞的一个截图证明,在这上面确实很难看出来危害,无法就是优酷的一个视频里面有一个XSS,可以弹出这样一个框框,就是不能直接看出它的危害。
后来这个危害还被忽略了,也公开了,包括我现在还在讲,这个漏洞还没被修。为什么会被忽略,这个是我不能理解的。首先我猜,难道是因为存在缺陷的域名不是优酷自己的域名。
(责任编辑:安博涛)
