关于xss盲打

楼主^#

更多发布于：2013-01-03 19:28

[] 1


	又到了各种年终总结的时候了，先祝各位看官“圣诞快乐”。我记得有朋友问我在2012年里有没有“猥琐流”比较出彩的东西时，我给的答案是“xss盲打”！关于“盲打”这个词语的出现，最早应该是在wooyun里id为“胯下有杀气”的马甲提出的。最早的一个wooyun案列是2012年7月提交的《WooYun-2012-09547》，由此xss盲打火了起来，当然wooyun推出的xss平台xsser.me也火了。于是到处都是“xxx盲打”，“xsser.tw”，“xsser.xx” .... 无独有偶，在从不多的时间段里，西方时间也出现了同样的攻击手法及平台。在2012年7月的defcon20上“Adam "EvilPacket" Baldwin”演讲的议题《Blind XSS》然后他也推出了一个平台xss.io 至于一切都是巧合，还是东西方有啥子关联，就没办法去考证了~~ 那到底什么是“xss盲打”呢？ “xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下，网站采用了攻击者插入了带真实攻击功能的xss攻击代码（通常是使用script标签引入远程的js）的数据。当未知后台在展现时没有对这些提交的数据进行过滤，那么后台管理人员在操作时就会触发xss来实现攻击者预定好的“真实攻击功能”。对于这种攻击方式，对于我来说最早可以追溯到2007年我写的blog文《dz升级检测功能的黑盒测试》不过可惜的当时并没有去实践，而只是提出了攻击思路。还有值得一提的是在那挂马横行的年代，基本所有的“箱子”对于木马提交的“密码”、“ip”等数据都是缺少xss过滤的。所以当时也有人整过挂马箱子的盲打。这个时间段差不多有5年，我想这个原因可能还是“对交互恐惧”导致的，我在《也策漏洞利用》有提到过这样问题。而为什么会“火”呢？也是上面那个原因，对与攻击者来说，越是不确定，攻击成功后带来的心理收益是比较高的！然后加上这个时代的年轻黑客们已经没有了当年我们对于攻击失败而产生的羞涩感了！还有一个原因就是各大甲方对于安全的藐视，对于一个未对外开发的后台来说，他们根本就意识不到危险。不经历风雨，是见不到彩虹的，所以“甲方都需要教育!”。我们回到时间的主线上，在2011年12月我在淘宝培训的ppt《web2.0下的渗透测试》提到了多个真实的案列。根据这些案列，我们可以把“xss盲打”分为2大类：这个分类是站在攻击者提交数据的角度上来区分的。 1、主动型是指攻击者在对网站采取数据的方式已知，而对数据展现的后台未知的情况下，通过主动提交具有真实攻击功能xss代码给程序导致的xss盲打。在《WEB2.0下的渗透测试》里提到的“螳螂捕蝉”及wooyun上那些案例基本都是属于主动型。 2、被动型是指攻击者对网站采去数据的方式及对数据后台都未知的情况下，通过把插有真实攻击功能的xss代码的数据，使用“撒鱼饵”方式散布，一旦有网站抓取了你的“鱼饵”，而触发的xss盲打。这种攻击方式好像太大的随意性，感觉很难成功。但是也是这样的随意性，可能给攻击者带来更加意外的收获。在《WEB2.0下的渗透测试》里提到的“来自‘漏洞库’的漏洞”及“是谁想动了我的奶酪?”都属于被动型。这也是我常在blog里提到的“预留攻击接口”意识的体现！最后用那句“虫子永远属于那些有想法勤劳的小鸟”结尾！