AirJD 焦点
AirJD

没有录音文件
00:00/00:00
加收藏

从一个被忽略的漏洞到XSS僵尸网络 by Gainover

发布者 security
发布于 1438822757002  浏览 4571 关键词 网络安全 
分享到

第1页

Wooyun

从一个被忽略的漏洞



XSS 僵尸网络



第2页

gainover



第5页

中国细胞生物学大会



第6页

其实, 我是一个生物研究工作者。



第7页

不要问我: 转基因到底有没有危害?



第8页

XSS漏洞是什么?

XSS漏洞挖掘

想办法把自己代 码插入到目标页 面。

XSS漏洞利用

拿插入的JS代码 做你想做且浏览 器中能做的事情。



XSS漏洞

当一个页面允许攻击者向其

中插入恶意代码的时候,就 说明其代码存在XSS漏洞。



第9页

HttpOnly

XSS窃取 cookies



XSSER.ME



XSS 盲打



XSS 蠕虫



XSS

XSS DDoS



XSS 水坑



第10页

XSS攻击放大化 之 XSS 蠕虫



用户A



用户B



……



黑客



微博(内容/链接)

恶意 代码



微博(内容/链接)

恶意 代码



微博(内容/链接)

恶意 代码



实际案例:新浪微博、百度贴吧



第11页

XSS攻击放大化 之 XSS DDoS



用户A



用户B



……



大量请求



大流量网站



x10



黑客



存储型XSS



目标 网站



实际案例:利用搜狐视频的存储型XSS漏洞对目标网站进行DDoS

(网站用户多,流量大,用户在视频页停留时间长)



第12页

XSS攻击放大化 之 XSS 水坑攻击



黑客



李开复 访问



其它来访者 ….



36kr



水坑站A



水坑站B



实际案例:

每天早晨起来,把36kr新发布的文章评论中插入QQ的XSS代码,数天 后,劫持李开复的腾讯微博,并让其关注了乌云漏洞报告平台。

1. 文章评论插件采用第三方插件,漏洞为第三方插件漏洞 2. 36kr网站只是充当了一个流量载体,攻击者并不关心36kr网站自 身的用户数据



第13页

厂商 XSS 攻击者



漏洞类型:反射型XSS

2分/3分

白帽:多给点分啊?

这产品要下线了,不重要。 你能证明可以蠕虫,就给你加分。 这个域名不是重点应用,所以2分。



XSS 获 取 XSS 伪

用 户 个 造钓鱼 人信息 页面



……



出售



诈骗



搜狗拼音网址钓鱼

http://www.wooyun.org/bugs/wooyun2013-019719



第14页

对于攻击者来说,

任何一个看似很小的漏洞, 都能被充分利用。



第15页

一个被忽略的漏洞。。。。

缺陷编号: WooYun-2013-39670 漏洞标题: 优酷分站一个存储型XSS漏洞 相关厂商: 优酷 漏洞作者: neobyte

漏洞原理见乌云drops: http://drops.wooyun.org/papers/1426



第17页

为什么被忽略?

1. 因为缺陷文件的域名不是 *.youku.com? http://irs01.net/MTFlashStore.swf 但实际上此XSS代码所影响的域确实是优酷的域名。

2. 既然该第三方文件的XSS能影响到自身域名,为什么没有通知第三方进行 修复? 这是一种“反正不是我们自己文件所造成的缺陷”的心态么?



第18页

漏洞被忽略,会有什么后果呢?

视频录像 0x01



第19页

问题1:到底有多少网站受这个漏洞影响?



用户A 用户B



路过



某些网站



我们



植入



XSS



统计访问来源



优酷及其它视频 网站

调用这些视频网 站的其它网站

执行

优酷FLASH XSS

指定URL



第20页

统计结果:

- 2.39 GB 访问日志 - 9513830次 带有请求来源的访问请求 - 2831 个 域名

1600000 1400000 1200000 1000000

800000 600000 400000 200000



TOP 20



第21页

问题2:你弹个窗有什么用?

从 alert("ok")

到 真实数据的泄漏



第22页

视频录像 0x02



第23页

就这样完了吗???



第24页

当然,不仅仅是这一个漏洞!

2013-10-24 问题很隐蔽,这个开发人员肯定注意不到了, 只要有这么用了的,估计都存在问题。



第25页

还有哪些呢?



第26页

乌云上已公开案例

2013-11-14 新浪博客存储型XSS(全部博客可留后门) 2014-02-21 一个可大规模悄无声息窃取淘宝/支付宝账号与密码的漏洞 2014-03-20 我是如何实现批量种植rootkit窃取阿里云账号密码的



第27页

暂未公开案例

视频录像 0x03 (电商案例)



第28页

视频录像 0x04 (社交网络应用案例)



第29页

漏洞特点与XSS僵尸网络



隐蔽性



对用户

用户说:钓鱼网站我都分不清!



对厂商

恶意代码存储在用户电脑中, 从厂商角度,网站无任何异常!



第30页

漏洞特点与XSS僵尸网络

持久性

长期存在于用户电脑中, 且不易清理,

每次用户打开存在漏洞网站均会触发。



第31页

漏洞特点与XSS僵尸网络

流量大

受影响网站用户量大, 用户在页面停留时间长。

使得XSS的利用代码 可以获得更长的执行时间。



第32页

XSS僵尸网络的构建



需要执行的恶意操作



小中型网站



黑客



XSS代码



植入FLASH XSS



感染阶段



大型网站 信息窃取

DDoS ……..

执行阶段



第33页

欢迎提问



第34页

成都PKAV团队招人

如有意向者

请将简历发送至 g_@live.com



第35页

谢谢大家!



支持文件格式:*.pdf
上传最后阶段需要进行在线转换,可能需要1~2分钟,请耐心等待。