第1页
Wooyun
从一个被忽略的漏洞
到
XSS 僵尸网络
从一个被忽略的漏洞
到
XSS 僵尸网络
第2页
gainover
第5页
中国细胞生物学大会
第6页
其实, 我是一个生物研究工作者。
第7页
不要问我: 转基因到底有没有危害?
第8页
XSS漏洞是什么?
XSS漏洞挖掘
想办法把自己代 码插入到目标页 面。
XSS漏洞利用
拿插入的JS代码 做你想做且浏览 器中能做的事情。
XSS漏洞
当一个页面允许攻击者向其
中插入恶意代码的时候,就 说明其代码存在XSS漏洞。
XSS漏洞挖掘
想办法把自己代 码插入到目标页 面。
XSS漏洞利用
拿插入的JS代码 做你想做且浏览 器中能做的事情。
XSS漏洞
当一个页面允许攻击者向其
中插入恶意代码的时候,就 说明其代码存在XSS漏洞。
第9页
HttpOnly
XSS窃取 cookies
XSSER.ME
XSS 盲打
XSS 蠕虫
XSS
XSS DDoS
XSS 水坑
XSS窃取 cookies
XSSER.ME
XSS 盲打
XSS 蠕虫
XSS
XSS DDoS
XSS 水坑
第10页
XSS攻击放大化 之 XSS 蠕虫
用户A
用户B
……
黑客
微博(内容/链接)
恶意 代码
微博(内容/链接)
恶意 代码
微博(内容/链接)
恶意 代码
实际案例:新浪微博、百度贴吧
用户A
用户B
……
黑客
微博(内容/链接)
恶意 代码
微博(内容/链接)
恶意 代码
微博(内容/链接)
恶意 代码
实际案例:新浪微博、百度贴吧
第11页
XSS攻击放大化 之 XSS DDoS
用户A
用户B
……
大量请求
大流量网站
x10
黑客
存储型XSS
目标 网站
实际案例:利用搜狐视频的存储型XSS漏洞对目标网站进行DDoS
(网站用户多,流量大,用户在视频页停留时间长)
用户A
用户B
……
大量请求
大流量网站
x10
黑客
存储型XSS
目标 网站
实际案例:利用搜狐视频的存储型XSS漏洞对目标网站进行DDoS
(网站用户多,流量大,用户在视频页停留时间长)
第12页
XSS攻击放大化 之 XSS 水坑攻击
黑客
李开复 访问
其它来访者 ….
36kr
水坑站A
水坑站B
实际案例:
每天早晨起来,把36kr新发布的文章评论中插入QQ的XSS代码,数天 后,劫持李开复的腾讯微博,并让其关注了乌云漏洞报告平台。
1. 文章评论插件采用第三方插件,漏洞为第三方插件漏洞 2. 36kr网站只是充当了一个流量载体,攻击者并不关心36kr网站自 身的用户数据
黑客
李开复 访问
其它来访者 ….
36kr
水坑站A
水坑站B
实际案例:
每天早晨起来,把36kr新发布的文章评论中插入QQ的XSS代码,数天 后,劫持李开复的腾讯微博,并让其关注了乌云漏洞报告平台。
1. 文章评论插件采用第三方插件,漏洞为第三方插件漏洞 2. 36kr网站只是充当了一个流量载体,攻击者并不关心36kr网站自 身的用户数据
第13页
厂商 XSS 攻击者
漏洞类型:反射型XSS
2分/3分
白帽:多给点分啊?
这产品要下线了,不重要。 你能证明可以蠕虫,就给你加分。 这个域名不是重点应用,所以2分。
XSS 获 取 XSS 伪
用 户 个 造钓鱼 人信息 页面
……
出售
诈骗
搜狗拼音网址钓鱼
http://www.wooyun.org/bugs/wooyun2013-019719
漏洞类型:反射型XSS
2分/3分
白帽:多给点分啊?
这产品要下线了,不重要。 你能证明可以蠕虫,就给你加分。 这个域名不是重点应用,所以2分。
XSS 获 取 XSS 伪
用 户 个 造钓鱼 人信息 页面
……
出售
诈骗
搜狗拼音网址钓鱼
http://www.wooyun.org/bugs/wooyun2013-019719
第14页
对于攻击者来说,
任何一个看似很小的漏洞, 都能被充分利用。
任何一个看似很小的漏洞, 都能被充分利用。
第15页
一个被忽略的漏洞。。。。
缺陷编号: WooYun-2013-39670 漏洞标题: 优酷分站一个存储型XSS漏洞 相关厂商: 优酷 漏洞作者: neobyte
漏洞原理见乌云drops: http://drops.wooyun.org/papers/1426
缺陷编号: WooYun-2013-39670 漏洞标题: 优酷分站一个存储型XSS漏洞 相关厂商: 优酷 漏洞作者: neobyte
漏洞原理见乌云drops: http://drops.wooyun.org/papers/1426
第17页
为什么被忽略?
1. 因为缺陷文件的域名不是 *.youku.com? http://irs01.net/MTFlashStore.swf 但实际上此XSS代码所影响的域确实是优酷的域名。
2. 既然该第三方文件的XSS能影响到自身域名,为什么没有通知第三方进行 修复? 这是一种“反正不是我们自己文件所造成的缺陷”的心态么?
1. 因为缺陷文件的域名不是 *.youku.com? http://irs01.net/MTFlashStore.swf 但实际上此XSS代码所影响的域确实是优酷的域名。
2. 既然该第三方文件的XSS能影响到自身域名,为什么没有通知第三方进行 修复? 这是一种“反正不是我们自己文件所造成的缺陷”的心态么?
第18页
漏洞被忽略,会有什么后果呢?
视频录像 0x01
视频录像 0x01
第19页
问题1:到底有多少网站受这个漏洞影响?
用户A 用户B
路过
某些网站
我们
植入
XSS
统计访问来源
优酷及其它视频 网站
调用这些视频网 站的其它网站
执行
优酷FLASH XSS
指定URL
用户A 用户B
路过
某些网站
我们
植入
XSS
统计访问来源
优酷及其它视频 网站
调用这些视频网 站的其它网站
执行
优酷FLASH XSS
指定URL
第20页
统计结果:
- 2.39 GB 访问日志 - 9513830次 带有请求来源的访问请求 - 2831 个 域名
1600000 1400000 1200000 1000000
800000 600000 400000 200000
TOP 20
- 2.39 GB 访问日志 - 9513830次 带有请求来源的访问请求 - 2831 个 域名
1600000 1400000 1200000 1000000
800000 600000 400000 200000
TOP 20
第21页
问题2:你弹个窗有什么用?
从 alert("ok")
到 真实数据的泄漏
从 alert("ok")
到 真实数据的泄漏
第22页
视频录像 0x02
第23页
就这样完了吗???
第24页
当然,不仅仅是这一个漏洞!
2013-10-24 问题很隐蔽,这个开发人员肯定注意不到了, 只要有这么用了的,估计都存在问题。
2013-10-24 问题很隐蔽,这个开发人员肯定注意不到了, 只要有这么用了的,估计都存在问题。
第25页
还有哪些呢?
第26页
乌云上已公开案例
2013-11-14 新浪博客存储型XSS(全部博客可留后门) 2014-02-21 一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 2014-03-20 我是如何实现批量种植rootkit窃取阿里云账号密码的
2013-11-14 新浪博客存储型XSS(全部博客可留后门) 2014-02-21 一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 2014-03-20 我是如何实现批量种植rootkit窃取阿里云账号密码的
第27页
暂未公开案例
视频录像 0x03 (电商案例)
视频录像 0x03 (电商案例)
第28页
视频录像 0x04 (社交网络应用案例)
第29页
漏洞特点与XSS僵尸网络
隐蔽性
对用户
用户说:钓鱼网站我都分不清!
对厂商
恶意代码存储在用户电脑中, 从厂商角度,网站无任何异常!
隐蔽性
对用户
用户说:钓鱼网站我都分不清!
对厂商
恶意代码存储在用户电脑中, 从厂商角度,网站无任何异常!
第30页
漏洞特点与XSS僵尸网络
持久性
长期存在于用户电脑中, 且不易清理,
每次用户打开存在漏洞网站均会触发。
持久性
长期存在于用户电脑中, 且不易清理,
每次用户打开存在漏洞网站均会触发。
第31页
漏洞特点与XSS僵尸网络
流量大
受影响网站用户量大, 用户在页面停留时间长。
使得XSS的利用代码 可以获得更长的执行时间。
流量大
受影响网站用户量大, 用户在页面停留时间长。
使得XSS的利用代码 可以获得更长的执行时间。
第32页
XSS僵尸网络的构建
需要执行的恶意操作
小中型网站
黑客
XSS代码
植入FLASH XSS
感染阶段
大型网站 信息窃取
DDoS ……..
执行阶段
需要执行的恶意操作
小中型网站
黑客
XSS代码
植入FLASH XSS
感染阶段
大型网站 信息窃取
DDoS ……..
执行阶段
第33页
欢迎提问
第34页
成都PKAV团队招人
如有意向者
请将简历发送至 g_@live.com
如有意向者
请将简历发送至 g_@live.com
第35页
谢谢大家!