蠕虫需要追求原生态:框架封装了太多优秀的函数,对XSS来说,直接调用就好,可以省去许多自定义代码的麻烦,而且可以大大减少XSS蠕虫的大小,这样的XSS蠕虫就是原生态的;1.代码的原生态:简单的几行代码就可以发起GET或POST请求,而且使用原生态的框架还有一个好处,它帮我们处理了各种浏览器兼容的问题;2.攻击效果的原生态:那些DIV框、UI组件都是可以直接调用一些高度封装的JavaScript函数来生成;
9.3.CSRF蠕虫关于原理和危害性:CSRF蠕虫的原理和XSS蠕虫基本类似,只是这里用到的是CSRF,攻击代码存在于攻击者页面中,目标网站传播的内容都包含攻击者页面URL,这样才能诱惑目标网站上的被攻击者打开攻击者页面,然后触发CSRF,CSRF会继续跨域发布含攻击者页面URL的内容进行传播;和XSS蠕虫不一样的是:XSS蠕虫的攻击代码本质上是存放在目标网站上的,即使是<script>从攻击者域上引用进来,对JavaScript上下文来说,也属于目标网站;CSRF蠕虫的危害性大多与XSS蠕虫一样,如:获取用户隐私、对用户数据进行恶意操作、散播广告、传播网页木马、传播舆情等;
译言CSRF蠕虫:攻击代码可以做得非常隐蔽,顺便加上了Referer判断。而蠕虫代码就是靠得到的这个Referer值进行后续操作的。由于Ajax无法跨域获取操作第三方服务器上的资源,于是使用了服务端代理来完全跨域获取数据的操作(Microsoft.XMLHTTP控件的使用);有一点要强调下,蠕虫传播的前提是目标用户登录了目标网站,然后才能看到消息并中招,之后的传播必定会带上目标用户的内存Cookie,所以这个过程不受限于IE下的本地CookieP3P策略的声明;
饭否CSRF蠕虫-邪恶的Flash游戏:饭否CSRF蠕虫是利用Flash进行传播的,本质上是该Flash文件里的ActionScript脚本向饭否发起CSRF请求;CSRF请求有两种:一种是Get请求获取攻击者相关的隐私数据。第二种是POST请求提交数据,使得被攻击者自动发送一条微博消息并向自己的好友都发一条私信;这些Web蠕虫都是基于用户群的,需要大量的用户参与,借用户交互之势而传播,而用户之间却存在一种信任关系,一般情况下,如果是自己的好友给自己发消息,都会去看,因为彼此很信任,饭否的这个蠕虫传播正是利用了这个特性;
CSRF蠕虫存在的可能性分析:顾名思义,CSRF蠕虫就是利用CSRF技术进行传播的Web蠕虫,前者的译言CSRF蠕虫以及相关分析文章说明了CSRF蠕虫存在的事实,译言网站的这个CSRF是由用户驱动的,蠕虫的代码都存放于另外一个网站上;要解决的最关键的问题就是CSRF蠕虫的传播性,即基于用户驱动的传播性(主动或者被动);跨域获取数据的几种方式:CSRF蠕虫传播必须面对的问题是如何获取各种必要的唯一值。这里有三种方式:服务端代理技术、FlashAS跨域请求技术、JSONHijacking技术;通过对CSRF蠕虫传播原理的分析,许多广泛存在CSRF漏洞的Web2.0网站都面临着CSRF蠕虫的威胁。Web2.0蠕虫由用户驱动(被动的或主动的),加上一些社工技巧,这将很难防御;
9.4.ClickJacking蠕虫ClickJacking蠕虫的由来:2009年初Twitter上发生的“Don't Click”蠕虫事件;
ClickJacking蠕虫技术原理分析:技术分析:首先,攻击者使用ClickJacking技术制作蠕虫页面,该页面的URL地址使用TINYURL短地址转;设计要点:对iframe和button标签进行CSS样式设定,放置iframe标签所在层为透明层,使iframe标签所在层位于button标签所在层的正上方;要发动ClickJacking蠕虫攻击,满足以下两点必要条件即可(在SNS社区网络中,找到一个可以直接使用HTTP的GET方式提交数据的页面;这个页面可以被<iframe>标签包含;)
Facebook的LikeJacking蠕虫:Facebook遭遇的LikeJacking蠕虫攻击;Facebook中有一项插件服务,叫“Like Button”。用户可以在自己的博客或自己的网站中加入“Like Button”,访客浏览时,可以单击这个按钮表示自己喜欢这篇文章。当单击结束后,访客点击的状态信息会在访客的Facebook页面上以状态更新的方式显示出来;攻击者可以使用ClickJacking技术欺骗访客单击这个“Like Button”;
GoogleReader的ShareJacking蠕虫:非常流行的“一键分享”功能插件;这种插件可以让用户把在网络中看到的好文章或好资源直接以广播消息的形式发布到自己的社区和好友们进行分享;除了发现Google Reader存在ShareJacking蠕虫攻击外,还发现国内SNS环境中腾讯微博、腾讯空间、腾讯朋友、搜狐微博、人人网、淘江湖均存在这种攻击;