p> 通过瑞星安全人员的分析发现,网络上有很大一部分外挂或辅助软件为“伪外挂”程序,即该类软件根本无法实现“刷人气”、“刷等级”等作用,而其主要功能是盗取用户的账号密码信息等内容。由于该类软件对外宣称实现的是“刷人气”、“刷等级”的作用,所以“名正言顺”地要求用户在软件运行时输入SNS网站的个人账户及密码信息,而软件在获取账号密码信息以后除了向SNS网站发送该信息外,还会向黑客的服务器发送用户的账号和密码信息,如图5所示。
图5:外挂辅助软件盗取用户账号和密码信息
在图5所示的案例中用户的账号和密码信息被提交到了黑客的网站服务器w#w.clickaider.net,黑客在接收到用户账号和密码信息以后,就可以使用正确的账号和密码信息登录,由此而带来的危害是无法想像的。
新浪微博遭受XSS跨站脚本攻击实例分析
相对于用户隐私泄露,SNS网络的XSS蠕虫的危害更大。目前,Ajax语言在大型交互网站上广泛应用,然而在Ajax快速流行的同时,也带来了不安全的隐患。黑客可以使用Ajax语言编写蠕虫病毒,实现病毒的几何数级传播,其感染速度和攻击效果非常可怕。
XSS漏洞攻击过程分析
那么XSS漏洞又是怎么实现将代码植入到Web应用程序中的呢?跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。
XSS通常可以分为两大类:一类是存储型XSS,主要出现在让用户输入数据,供其他浏览此页的用户进行查看的地方,包括留言、评论、博客日志和各类表单等。应用程序从数据库中查询数据,在页面中显示出来,攻击者在相关页面输入恶意的脚本数据后,用户浏览此类页面时就可能受到攻击。这个流程简单可以描述为——恶意用户的Html输入web程序进入数据库web程序用户浏览器。另一类是反射型XSS,主要是将脚本加入URL地址的程序参数里,参数进入程序后在页面直接输出脚本内容,用户点击类似的恶意链接就可能受到攻击。
由此可见,如果Web应用程序对用户输入的数据信息没有做严格过滤的话,就会导致被写入的恶意代码被解析并执行,结合Ajax的异步提交功能,自然也就实现了在植入恶意代码的同时,又可以将恶意代码进行对外发送的功能,即实现了代码的感染,同时也实现了代码的传播,也就形成了XSS蠕虫。出现最早也是最著名的XSS蠕虫病毒是MySpace的Samy XSS蠕虫了。
Samy蠕虫实例回放
MySpace支持交友功能,好友信息会显示在个人空间的好友列表中,但是,如果想通过MySpace添加其他人为自己的好友,需要得到对方的验证通过才可以。2005年10月,一个名叫Samy的人在网上发布了一片文章,在文章中他说找到了一种方法可以借助MySpace网站自身存在的漏洞实现自动化添加自己到别人的空间中,并且经过测试,在3个小时内添加了2429个好友,同时收到了6373个来自MySpace上其他人添加自己为好友的请求,由此而导致了大量的恶意数据和垃圾信息在MySpace上传播,对网站和用户都造成了巨大损害。
最近几年,XSS蠕虫在大型SNS网络上爆发也很常见,自2005年MySpace Samy XSS蠕虫爆发以后,2009年,著名的社交网络Twitter在这一年的时间里连续6次爆发多规模传播的XSS蠕虫攻击病毒。在最近几年,国内大型SNS网站及其他一些博客网站也有XSS蠕虫爆发的记录,如人人网的多次XSS蠕虫攻击事件、搜狐博客网站的XSS蠕虫攻击事件、百度空间的XSS蠕虫攻击事件及最近刚刚爆发的新浪微博XSS蠕虫大规模攻击事件等。在2007年10月,人人网爆发XSS蠕虫攻击事件中,攻击者没有植入任何恶意代码,所做的事情仅仅是测试一下蠕虫的传播效果,其中流量效果图如图6所示。
图6:人人网XSS蠕虫爆发期恶意代码所在网站流量监测状态图
从图6中我们可以看到恶意攻击者用于测试的网站流量在几天时间里大增,这些天应该是蠕虫感染的时间。日访问人数从0猛增到每天500人/百万人。也就是说,攻击者测试的地址每天会被访问5亿次,考虑到传播过程中会存在一个人访问多次的现象,所以粗略估计至少有几百万人受到该XSS蠕虫的攻击。值得庆幸的是,本次XSS蠕虫攻击事件攻击者仅仅是为了测试蠕虫的传播效果,如果将恶意挂马行为或者是钓鱼攻击行为与XSS蠕虫攻击相结合的话,由此造成的损失将是巨大的。
本文来源:天空软件 作者:佚名