通过远程资源注入的xss利用分析
0x1 背景
为了清晰的分析XSS攻击的本质,akamai威胁研究团队通过云安全情报平台研究了一周的XSS跨站脚本攻击。我们的目标是识别脆弱的攻击向量并且使用特殊的技术进行远程资源注入攻击尝试简单的请求。具体来说,我们分析了xss攻击并试图将远程javascript资源嵌入页面中。这些攻击形成了友好的对比,也证明了浏览器的javascript引擎通过执行一些XSS Payload等来触发xss攻击,请不要试图攻击终端用户(pc用户)。
0x2 分析的范围
今年早些时候,我们分析了7天的javascript注入。我们利用网络识别请求,包括调用远程javascript资源,然后我们更深层次的分析javascript代码的目的。
0x3 结果
我们分析发现,98%的远程javascript代码调用是合法的,如:
- 广告服务技术;
- 用户体验或用户界面框架;
- 用户网站分析;
- 通过包含远程javascript资源的Xss探测(扫描,扫描服务器供应商等)
非法的javascript注入只占2%,这里有一个完整的列表显示哪些国家的服务器托管了恶意代码。至少包括如下:
- 中国
- 匈牙利
- 乌克兰
- 俄罗斯
- 黑山
- 墨西哥
- 美国
- 巴西
- 印度
主要的恶意目标是为了:非法的广告注入、xss攻击框架、比特币矿业;
非法的广告注入
通过使用不合法的广告注入来达到点击欺诈和其他欺骗性广告目地。如下图:
图1:广告注入
xss攻击框架
Browser Exploit Framework(BeeF) 还有一些xss平台,他们允许用户通过钓鱼来控制web浏览器
图2:beef
图3:xss平台
比特币矿业
一些安全意识不强的用户被重定向到一个比特币的网站上,然后用户的客户端就会被远程监控。
下图就是一个比特币的网站 www.spartacusminer.com
注入攻击通过利用网址缩写服务,如:https://tr.im/ 或 http://t.cn 混淆javascript文件的位置。并且利用网址缩写服务使得客户端很难利用黑名单机制去防御。下图是两个示例载荷:
还有一种常见的多阶段加载(利用一个脚本调用另一个脚本)恶意资源。平均有2个嵌入脚本(A脚本加载B脚本)。部分的产品使用网址缩写服务,因为使用了http 302 重定向向用户发送请求。下图显示了一个示例文档,将用户重定向到一个页面点击欺诈,效果就是显示隐藏的windows媒体资源。
在所有的情况下,恶意代码被打包并混淆,使用多层次的技巧来避免可读,下图就是一个通过javascript16进制转义模糊数据,生成一段javascript代码来让浏览器每隔几微妙就像web服务器请求一次。
0x4 总结与xss防御
互联网的XSS超越了弹框这种验证,恶意攻击者利用xss漏洞进行点击/广告欺骗、会话窃取和损害用户的浏览器。通过部署web应用程序防火墙以及针对web应用的漏洞扫描可以减少xss的滥用。当然最新的web浏览器也有许多内置的xss保护,可以考虑安装安全插件,比如noScript。
*报告原文:https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/analysis-xss-exploitation-threat-advisory.pdf
文章出处:MOTTOIN
官方 