揭秘XSS漏洞灰色商业操作

前言

站长，在4月时候，接触微信H5活动裂变分享与诱导分享，有特意去了下XSS相关的一些东西，有去研究一下。如果你是程序员话，建议了解下xss漏洞原理。

在微信自媒体圈玩微信H5活动裂变分享与诱导分享，有这么一层意思：“如果插了个大站xss漏洞，裂变活动跑个几天，还不被腾讯封掉，我的访问量就可以突破百万。”

现在最主流利用xss漏洞，都在一些bbs评论区在搞的；那利用xss漏洞，为什么要利用xss漏洞来做灰色商业操作？现在是怎么去操作的呢？本期话题，我会用这个疑问进行下面的揭秘环节。我提供的素材的话，可能比较旧，是我前阵子朋友圈看到的。

解惑

想必，大家很经常在微信上见到这种连接吧？

点来点去，想要领个红包，分享出去了，结果反而关注了一大堆公众号，点击了大量广告，却毛也没有。回头来还要删删朋友圈。这就是微信H5活动裂变分享与诱导分享。

大家是不是很痛恨？有时候举报了也没效果，懂点网络的同学，下拉浏览器一看，都是一些大站。为什么还是忽悠人呢？

原来，这是利用了xss漏洞，攻击者编写一个利用漏洞的URL，在登录到被攻击的站点后，浏览攻击者提供的URL。

我刨根挖底，看了下网页源代码，嗅到了一个url，然后我对这个url进行搜索。

xss漏洞，引用最多的是插入一个图片HTML标签，或者一个javascript标签。

站长在之前有发过xss漏洞原理的一些文章XSS的原理分析与解剖

危害

XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

XSS漏洞按照攻击利用手法的不同，有以下三种类型：

类型A，本地利用漏洞，这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示：

Alice给Bob发送一个恶意构造了Web的URL。

Bob点击并查看了这个URL。

恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。

具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaScript。

Alice的恶意脚本可以在Bob的电脑上执行Bob所持有的权限下的命令。

类型B，反射式漏洞，这种漏洞和类型A有些类似，不同的是Web客户端使用Server端脚本生成页面为用户提供数据时，如果未经验证的用户数据被包含在页面中而未经HTML实体编码，客户端代码便能够注入到动态页面中。其攻击过程如下：

Alice经常浏览某个网站，此网站为Bob所拥有。Bob的站点运行Alice使用用户名/密码进行登录，并存储敏感信息(比如银行帐户信息)。

Charly发现Bob的站点包含反射性的XSS漏洞。

Charly编写一个利用漏洞的URL，并将其冒充为来自Bob的邮件发送给Alice。

Alice在登录到Bob的站点后，浏览Charly提供的URL。

嵌入到URL中的恶意脚本在Alice的浏览器中执行，就像它直接来自Bob的服务器一样。此脚本盗窃敏感信息(授权、信用卡、帐号信息等)然后在Alice完全不知情的情况下将这些信息发送到Charly的Web站点。

类型C，存储式漏洞，该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞，骇客将攻击脚本上传到Web服务器上，使得所有访问该页面的用户都面临信息泄漏的可能，其中也包括了Web服务器的管理员。其攻击过程如下：

Bob拥有一个Web站点，该站点允许用户发布信息/浏览已发布的信息。

Charly注意到Bob的站点具有类型C的XSS漏洞。

Charly发布一个热点信息，吸引其它用户纷纷阅读。

Bob或者是任何的其他人如Alice浏览该信息，其会话cookies或者其它信息将被Charly盗走。

类型A直接威胁用户个体，而类型B和类型C所威胁的对象都是企业级Web应用。

防御

上面的利用xss漏洞，的红包抽奖活动，早已经被封杀掉。正常这种漏洞，跑个几天，集聚了大量的用户就会封杀掉。同时，xss漏洞的站源也对漏洞进行处理。

步骤1、对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

步骤2、实现Session标记、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

步骤3、确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascript)，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。

网络安全不能忽视，安全龙也是网络攻击受害者；平均每天受到成百上千次攻击。

完。xss防御部分，有参考百度百科。如果你对xss防御感兴趣，并且成为一个网络安全工程师，可以加入我们高级VIP频道学习。

文章出处：黑客契约安全网   站长