百度一下 藏锋者 就能快速找到本站! 每日资讯归档 下载藏锋者到桌面一键访问

当前位置:主页 > 杂谈 > 新浪微博XSS攻击分析

新浪微博XSS攻击分析

所在栏目:杂谈 时间:06-30 00:08 分享:

6月28号,新浪微博收到攻击(XSS攻击),出现大范围的“中毒”情况,病毒利用新浪微博系统漏洞,向中毒者好友大量发送私信,并在内容内加上流行词汇,进行快速传播,在极短的时间内造成了巨大的影响。

新浪微博XSS攻击事件回顾

20:14,开始有大量带V的认证用户中招转发蠕虫

20:30,2kt.cn中的病毒页面无法访问

20:32,新浪微博中hellosamy用户无法访问

21:02,新浪漏洞修补完毕

新浪微博XSS攻击分析

实际上这是一种XSS攻击,并且并不是什么新鲜事。

什么是XSS攻击?XSS攻击也就是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

这次新浪微博的XSS攻击是因为名人堂(也就是认证用户区域)中的过滤不严,被攻击者插入了如下脚本:

新浪微博XSS攻击脚本

这个脚本是XSS的典型应用,大概作用就是执行图中网站里面的“images/t.js”这个JS文件,这个JS文件中是什么内容呢?包含3个部分的代码,分别是发微薄、加关注和给粉丝发信:

images/t.js内容

也就 是说,当新浪微博被XSS攻击之后,访问者会在无意中访问一些名人的微博,然后当鼠标指向某些具有诱惑性信息的时候,会采用ajax的方式自动访问上述网站的JS文件,实现发微博、加关注和给粉丝发信的所有操作——这就是为什么很多人称呼这次攻击是“中毒”的愿意,实际上这是个XSS的蠕虫。

新浪微博攻击者是谁?

这次攻击新浪微博的人暴露了两个信息:一个是使用的域名(2kt。cn),一个是这些XSS会自动关注一个名为hellosamy的人的微博。

关于这个域名,通过whois可以查到相关信息:

Registrant Organization: 北京新网数码信息技术有限公司

Registrant Name: 张志

不过这个信息并不具有多大的参考价值,因为这个网站多半和新浪一样,是受害者——攻击者得笨到什么程度或者说幼稚到什么程度才可能用自己的网站放攻击脚本?

另外,一个信息就更有意思了,hellosamy表面看起来好像没什么特别,但是熟悉网络安全的人可能会知道,samy是有名的通过SNS的XSS攻击传播的病毒,最初在mySpace上面进行传播——估计取这个名字是攻击者在打新浪微博的脸!以前国外的facebook、mySpace也曾经爆发过这样的攻击,作为抄袭国外的新浪微博,难道这点安全意识都没有?光是事后不断道歉又有何用?

不管怎么说,从技术分析上看,攻击者确实思路比较巧妙(这其中的ajax跨域、新浪微博中的api分析、session的运用等方法其实都比较难被常人发现),但是本着技术研究的角度研究研究就好,或者直接提交给新浪也好,实际攻击造成这么大的影响就不好了——不知道又有多少媒体会在本就很黑很黑的“中国黑客”脸上再泼一盆黑墨啊!!!

新浪微博XSS攻击分析 免费邮件订阅: 邮件订阅

图片推荐

CopyRight? 2013 www.cangfengzhe.com All rights reserved