cross-site-attack.ppt

QQ2009 XSS QQ2009 XSS QQ2009客户端的XSS攻击 昵称修改为：iframe x=` 发送一条这样的消息给被攻击者：`src=`http:\\%62`y=。当被攻击者查看聊天记录时，触发以上代码 more from http://xeye.us/blog/2009/04/qq-xss-0day/ QQ2009查找群的XSS风险 QQ2009 XSS QQ2009 XSS QQ2009 XSS 风险点： “群的简介”中写入的脚本，在QQ多处在线web服务中有输出 没对所有的输出点采取严格的过滤措施 XSS脚本的植入就可以完成XSS所能完成的事 盗取cookie 钓鱼 挂马 xss virus攻击 … wmf hijack iframe wmf hijack iframe 即Windows Media Files hijack iframe wmf hijack iframe wmf hijack iframe 嵌入包含劫持代码的hijack.wma wmf hijack iframe iframe指向的被劫持为xeye.us XSS能做什么 挂马 盗取用户cookie DOS客户端浏览器 钓鱼攻击，高级钓鱼技巧 编写针对性的XSS VIRUS，删除目标文章、恶意篡改数据、嫁祸、“借刀杀人”…… 劫持用户web行为 甚至进一步渗透内网 爆发Web2.0蠕虫 蠕虫式的DDOS攻击 蠕虫式挂马攻击、刷广告、刷流量、破坏网上数据…… … 同源策略 在下一页的Tips之前应该提下同源策略 在浏览器中有一个非常重要的概念：同源策略。它是指客户端脚本应该只被允许访问与自己在同域内的资源，这里的同域是指同协议、同域名、同端口的严格同域 为什么需要同源策略 你的gmail cookie就不会被另一个域的js读取 你上的隐私数据就不会被另一域的js读取、篡改、删除等 有两种情况可以这样做： 1、同源策略bypass的0day利用 2、你所在的域允许与其他域在客户端上通讯… XSS War, Browsers War! XSS能做的事那么多 浏览器是主战场 同源策略是安全分界线 XSS可以是特洛伊、可以变为冷兵器、可以化身刺客、可以自我繁殖出战争兵团 这个世界有秩序，不过……是用来打破的 说说两个有点意思的Tips phishing tips Phishing Tips 很多钓鱼不需要XSS，关键是社工 传统钓鱼 假冒域名，假冒登录页面 邮件钓鱼、短消息钓鱼、IM消息钓鱼等都是发送诱惑性的欺骗信息 这类钓鱼攻击的检测与防御在技术层面可实现的 其实还可以更好玩 DHTML驱动的网站UI 只要XSS发生，这些UI都可以模仿 让你的攻击就像是网站原生态产物 目标站点有多炫你的钓鱼攻击就多炫 技术层面上对这类钓鱼的检测是很困难的 … Phishing Tips 邮件钓鱼中 利用XSS document.write出一个假登录页面，对于很多人来说这个欺骗还是很大的，目前也是使用比较多的钓鱼攻击手法 下面换种方式进行 有些UI可以很好模仿…… Phishing Tips XSS Virus Tips XSS Virus Tips 针对性的破坏 破坏目标的网上数据，如果顺便挂马的话，即将威胁带到浏览器之外…… 与XSS Worm不一样的是，它不传播开 借助宿主环境中一切能借用的资源 各种原生态的js模块、函数、数据 各式存储空间：cookie、flash cookie、数据库、 userData 各种与外域通讯的方法：借用宿主环境中的各种外域通讯功能 XSS Virus的几个性质 隐蔽性 寄生 自我删除 与外域通讯能力 … XSS Virus Tips cookie/flash cookie/userData/etc local xss virus codz(shellcode) xss exp(attacker page) remote xss virus codz(shellcode) victim page request infect exp same domain insert shellcode load() /j.js XSS Virus Tips 使用html5的新特性 canvas: crack captcha web worker: 解决xss virus的大数据量计算 … html5虽然得到ff的全面支持，还不够 web worker 后台开启的一个线程工作（new Worker） 后台运行的Worker不能操作DOM 关键是数据处理，还可以用xhr进行网络操作，不过也是有限制的 缺陷：var worker = new Worker(/f.js);不能跨域加载js文件 … 相关资源 /xss.html