欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

通过远程资源注入的xss利用分析

来源:本站整理 作者:佚名 时间:2016-10-11 TAG: 我要投稿

0x1 背景
为了清晰的分析XSS攻击的本质,akamai威胁研究团队通过云安全情报平台研究了一周的XSS跨站脚本攻击。我们的目标是识别脆弱的攻击向量并且使用特殊的技术进行远程资源注入攻击尝试简单的请求。具体来说,我们分析了xss攻击并试图将远程javascript资源嵌入页面中。这些攻击形成了友好的对比,也证明了浏览器的javascript引擎通过执行一些XSS Payload等来触发xss攻击,请不要试图攻击终端用户(pc用户)。
0x2 分析的范围
今年早些时候,我们分析了7天的javascript注入。我们利用网络识别请求,包括调用远程javascript资源,然后我们更深层次的分析javascript代码的目的。
0x3 结果
我们分析发现,98%的远程javascript代码调用是合法的,如:
广告服务技术;
用户体验或用户界面框架;
用户网站分析;
通过包含远程javascript资源的Xss探测(扫描,扫描服务器供应商等)
非法的javascript注入只占2%,这里有一个完整的列表显示哪些国家的服务器托管了恶意代码。至少包括如下:
中国
匈牙利
乌克兰
俄罗斯
黑山
墨西哥
美国
巴西
印度
主要的恶意目标是为了:非法的广告注入、xss攻击框架、比特币矿业;
非法的广告注入
通过使用不合法的广告注入来达到点击欺诈和其他欺骗性广告目地。如下图:

图1:广告注入
xss攻击框架
Browser Exploit Framework(BeeF) 还有一些xss平台,他们允许用户通过钓鱼来控制web浏览器

图2:beef

图3:xss平台
比特币矿业
一些安全意识不强的用户被重定向到一个比特币的网站上,然后用户的客户端就会被远程监控。

下图就是一个比特币的网站 www.spartacusminer.com

注入攻击通过利用网址缩写服务,如:https://tr.im/ 或 http://t.cn 混淆javascript文件的位置。并且利用网址缩写服务使得客户端很难利用黑名单机制去防御。下图是两个示例载荷:

还有一种常见的多阶段加载(利用一个脚本调用另一个脚本)恶意资源。平均有2个嵌入脚本(A脚本加载B脚本)。部分的产品使用网址缩写服务,因为使用了http 302 重定向向用户发送请求。下图显示了一个示例文档,将用户重定向到一个页面点击欺诈,效果就是显示隐藏的windows媒体资源。

在所有的情况下,恶意代码被打包并混淆,使用多层次的技巧来避免可读,下图就是一个通过javascript16进制转义模糊数据,生成一段javascript代码来让浏览器每隔几微妙就像web服务器请求一次。

0x4 总结与xss防御
互联网的XSS

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载