XSS蠕虫病毒--即将发生的威胁与最 好的防御.pdfVIP

Cross-Site Scripting Worms Viruses The Impending Threat the Best Defense XSS 蠕虫病毒 即将发生的威胁与最好的防御 June 2007 – updated Jeremiah Grossman Founder and CTO, WhiteHat Security 翻译：Fooying （知道创宇安全研究团队） /fooying 2013/1/1 知道创宇（ ）专注互联网安全 目录 介绍3 关于XSS 蠕虫和病毒的10 条快速介绍_你现在需要知道的: 3 XSS 的概述3 非持久型XSS 4 持久型XSS 6 他们是怎么做的:传播的方法6 第一个XSS 蠕虫: Samy 7 第一个24 小时的传播：Samy 创下的纪录8 Code Red I 和 Code Red II(红色代码)8 Slammer(地狱) 9 Blaster(冲击波) 9 对比分析9 最坏的情况11 最好的防御12 用户12 开发者12 安全专家13 浏览器厂商13 结论13 附录13 嵌入式HTML 标签13 JavaScript DOM 对象14 XmlHttpRequest (XHR) 15 Samy 蠕虫代码16 Notes 21 关于23 介绍 1 2 2005 年10 月14 日, “Samy worm ”成为第一大使用跨站脚本 (“XSS”)进行传播感染的蠕虫。一夜之间，蠕虫在世 界最流行的社交网站MyS 上，更改了超过一百万个人用户个人资料页面。该蠕虫通过JavaScript 病毒性代码 3 来感染网站，并且添加一个叫Samy 的黑客为”朋友”和”英雄 ”(译者注:类似于微博关注)。使得MySpace 这样一个在美 国超过3200 万用户的、排名前十(根据ALEXA 排名)的网站被迫关闭以阻止冲击。 Samy ，蠕虫作者，原意只是想要变得更知名,然后这样的一个payload 也是相对良性的。但是，请想想他拥有和控 制着超过一百万可支配的Web 浏览器和千兆带宽，他可以做什么——浏览器，也可能登录到谷歌，雅虎，微软Passport， 易趣，网络银行，股票经纪，博客，留言板，或任何其他的Web 应用程序。不过重要的是我们开始了解相关的风险 的大小与XSS 恶意软件的方法和途径，企业可以保护他们自己和他们的用户，尤其是当恶意软件来源于信任的网站和 侵略性的编写者。 在本白皮书中，我们将提供一个关于XSS 的概述;定义XSS 蠕虫;检验传播方式，感染率和潜在的影响。最重要的 是，我们将描述如何立即采取措施，企业可以采取以捍卫他们的网站。 关于XSS 蠕虫和病毒的10 条快速介绍_你现在需要知道的: XSS 的爆发： 1、可能来自社区驱动的受欢迎的网站的功能，如社交网络，博客，用户评论，留言板，聊天室，网络邮件，和维基 百科。 2、可发生于任何时间，因为传播所需的漏洞存在于超过80% 的网站。 3、甚至比更臭名昭著的蠕虫病毒,如Code Red, Slammer 和Blaster 传播的更快更干净。 4 、可以创建一个Web 浏览器僵尸网络实现大规模的 DDoS 攻击。存在破坏数据、发送垃圾邮件、欺骗客户的潜力。 5、与操作系统（Windows，Linux 和Macintosh OS X 等等）无关，因为是在Web 浏览器发生并执行的。 6、能够避免网络堵塞, 因为通过Web 服务器到Web 浏览器（客户端 - 服务器）模式传播，而不是一个典型的盲目的 对等模型。 7、不依赖于web 浏览器或者操作系统漏洞。 8、可以利用第三方提供的网页部件（广告横幅，天气和投票模块，JavaScript 的RSS 订阅，流量计数器等）传播。 9、找出恶意代码将是一个挑战，因为受感染的浏览器的网络行为保持相对不变，很难区分正常的Web 页面标签中的 JavaScript 攻击代码。 10、 比传统互联网病毒更容易