Logo



新浪微博反射xss蠕虫的简单介绍

新浪微博出现了不是自己发的微博

可能是你手一抖就按到了转发,或者微博被盗用。只要不是在同一IP段。新浪都会把你账号给锁住的。要手机解开。

微博是一个由新浪网推出,提供微型博客服务类的社交网站。用户可以通过网页、WAP页面、手机客户端、手机短信、彩信发布消息或上传图片。用户可以将看到的、听到的、想到的事情写成一句话,或发一张图片,通过电脑或者手机随时随地分享给朋友,一起分享、讨论;还可以关注朋友,即时看到朋友们发布的信息。

2009年7月,经过一个多月的调研分析,管理层明确了目标,下决心要做微博这个产品,由两年前进入新浪、时任桌面产品事业部主管的彭少彬主持开发。

2010年初,新浪微博推出API开放平台。虎年伊始,百度百科也推出了“分享到新浪微博”的新功能。细心的科友可以发现,在百科词条页的下方,新增了“分享到新浪微博”的按钮。

根据2010年官方公布数据显示,新浪微博每天发博数超过2500万条,其中有38%来自于移动终端。每天发布微博数量超过两千五百万条,微博总数累计超过20亿条。是国内最有影响力、最受瞩目的微博运营商。

跨站脚本攻击的危害

(1)钓鱼欺骗:利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。

(2)网站挂马:跨站时利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。

(3)身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS可以盗取到用户的Cookie,从而利用该Cookie盗取用户对该网站的操作权限,如果一个网站管理员用户Cookie被窃取,将会对网站引发巨大的危害。

(4)盗取网站用户信息:当能够窃取到用户Cookie从而获取到用户身份,攻击者可以获得到用户对网站的操作权限,从而查看用户隐私信息。

(5)垃圾信息发送:比如在SNS社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。

(6)劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。

(7)XSS蠕虫:XSS蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。

什么是微博小尾巴呀!

开通新浪微博会员后新浪微博反射xss蠕虫,在手机客户端上点击个性化设置→微博自定义来源,保存下即可

取消微博小尾巴方法新浪微博反射xss蠕虫

1.打开手机版新浪微博并登录新浪微博反射xss蠕虫

2.点击手机微博主页中新浪微博反射xss蠕虫的我,然后点击个性化;

3.然后点击个性化中的微博来源,一般用户可以选择只显示安卓手机,完全不显示手机型号需要开通会员。

什么是微博尾巴?

“微博尾巴”是一种蠕虫病毒,该病毒利用新浪微博系统“XSS漏洞”,向中毒者好友大量发送私信,植入恶意脚本,并在内容内加上流行词汇,进行快速传播。用户点击病毒链接后即会中毒。该蠕虫不会盗取用户账号密码,并且已被新浪封杀。

新浪微博自动对外发送带连接的微博怎么办?

“个税起征点有望上调至4000元……”“让女人心动的100句诗歌……”在微博上看到有人发这样的帖,你会不会忍不住点开看个究竟?昨天晚间,不少新浪微博用户就因为好奇点开了以上链接,导致“微博病毒”迅速蔓延。用户中毒后,不仅会在短时间内自动向好友发布大量带链接内容,同时还会向部分粉丝发送带有病毒链接的私信。直到昨晚9点多,新浪微博上的恶意链接数据才清除完毕。据悉,这是新浪微博第一次遭遇如此大规模的病毒袭击。

金山毒霸公司昨晚称,新浪微博出现的这种病毒叫“微博尾巴”蠕虫病毒,该病毒利用新浪微博系统“XSS漏洞”,向中毒者好友大量发送私信,植入恶意脚本,并在内容内加上流行词汇,进行快速传播。用户点击病毒链接后即会中毒,大量向好友发送私信和@好友。但该蠕虫不会盗取用户账号密码,并且已被新浪封杀,提醒有疑似症状用户清空缓存。

有业内人士建议,为避免微博中毒,可以采取以下对策:不要点开私信里的任何链接;把私信接受的权限设置为“我关注的人”;发现中毒后马上退出登录即可停止发布病毒信息。

ID为“微博小秘书”的用户在新浪微博上宣布,截至晚上9:25,微博上的恶意链接数据已经清除完毕。恶意链接内容传播已经得到控制,用户密码等个人信息不会受影响。

据透露,病毒账号为hellosamy,被控制之前有32961个粉丝,由于中毒账户都会被该账号强行加为粉丝,该账号粉丝数量应该就是“中毒”人数。

新浪微博自2009年上线以来,注册用户超过1亿,根据2010年官方公布数据显示,新浪微博每天发博数超过2500万条,微博总数累计超过20亿条。这样一个超大型的网络互动平台,昨天遭遇了“史上第一次”病毒袭击,也再次引发网友对网络安全的热议。微博账号为“有情有义徐州人”的网友说:“加强微博的安全性应当引起新浪的高度重视,事关那么多人啊!”

安全卫士中的微博卫士可以干什么

微博卫士是针对XSS漏洞攻击(跨站脚本攻击)而开发的一款防御工具,可以有效保护微博和社交网站帐号安全。以此前爆发的新浪微博蠕虫为例,由于其页面XSS漏洞被黑客攻击,导致蠕虫病毒自动通过微博好友列表传播。如果其他微博和社交网站出现XSS漏洞,同样会出现类似情况

开启微博卫士后,它会自动检测您访问的页面是否存在XSS漏洞攻击,在您遭遇微博病毒时能立即拦截并阻止恶意脚本运行,保护您的好友列表以及其它个人隐私不被泄露。

如何正确防御xss攻击

XSS攻击通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。

一、HttpOnly防止劫取Cookie

HttpOnly最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie。目前主流浏览器都支持,HttpOnly解决是XSS后的Cookie支持攻击。

我们来看下百度有没有使用。

未登录时的Cookie信息

可以看到,所有Cookie都没有设置HttpOnly,现在我登录下

发现在个叫BDUSS的Cookie设置了HttpOnly。可以猜测此Cookie用于认证。

下面我用PHP来实现下:

?php

header("Set-Cookie: cookie1=test1;");

header("Set-Cookie: cookie2=test2;httponly",false);

setcookie('cookie3','test3',NULL,NULL,NULL,NULL,false);

setcookie('cookie4','test4',NULL,NULL,NULL,NULL,true);

script

alert(document.cookie);

/script

js只能读到没有HttpOnly标识的Cookie

二、输入检查

输入检查一般是检查用户输入的数据中是否包含一些特殊字符,如、、'、"等,如果发现存在特殊字符,则将这些字符过滤或者编码。

例如网站注册经常用户名只允许字母和数字的组合,或者邮箱电话,我们会在前端用js进行检查,但在服务器端代码必须再次检查一次,因为客户端的检查很容易绕过。

网上有许多开源的“XSS Filter”的实现,但是它们应该选择性的使用,因为它们对特殊字符的过滤可能并非数据的本意。比如一款php的lib_filter类:

$filter = new lib_filter();

echo $filter-go('1+11');

它输出的是1,这大大歪曲了数据的语义,因此什么情况应该对哪些字符进行过滤应该适情况而定。

三、输出检查

大多人都知道输入需要做检查,但却忽略了输出检查。

1、在HTML标签中输出

如代码:

?php

$a = "scriptalert(1);/script";

$b = "img src=# onerror=alert(2) /";

div?=$b?/div

a href="#"?=$a?/a

这样客户端受到xss攻击,解决方法就是对变量使用htmlEncode,php中的函数是htmlentities

?php

$a = "scriptalert(1);/script";

$b = "img src=# onerror=alert(2) /";

div?=htmlentities($b)?/div

a href="#"?=htmlentities($a)?/a

2、在HTML属性中输出

div id="div" name ="$var"/div

这种情况防御也是使用htmlEncode

在owasp-php中实现:

$immune_htmlattr = array(',', '.', '-', '_');

$this-htmlEntityCodec-encode($this-immune_htmlattr, "\"script123123;/script\"");

3、在script标签中输出

如代码:

?php

$c = "1;alert(3)";

script type="text/javascript"

var c = ?=$c?;

/script

这样xss又生效了。首先js变量输出一定要在引号内,但是如果我$c = "\"abc;alert(123);//",你会发现放引号中都没用,自带的函数都不能很好的满足。这时只能使用一个更加严格的JavascriptEncode函数来保证安全——除数字、字母外的所有字符,都使用十六进制"\xHH"的方式进行编码。这里我采用开源的owasp-php方法来实现

$immune = array("");

echo $this-javascriptCodec-encode($immune, "\"abc;alert(123);//");

最后输出\x22abc\x3Balert\x28123\x29\x3B\x2F\x2F

4、在事件中输出

a href="#" onclick="funcA('$var')" test/a

可能攻击方法

a href="#" onclick="funcA('');alter(/xss/;//')"test/a

这个其实就是写在script中,所以跟3防御相同

5、在css中输出

在owasp-php中实现:

$immune = array("");

$this-cssCodec-encode($immune, 'background:expression(window.x?0:(alert(/XSS/),window.x=1));');

6、在地址中输出

先确保变量是否是"http"开头,然后再使用js的encodeURI或encodeURIComponent方法。

在owasp-php中实现:

$instance = ESAPI::getEncoder();

$instance-encodeForURL(‘url’);

四、处理富文体

就像我写这篇博客,我几乎可以随意输入任意字符,插入图片,插入代码,还可以设置样式。这个时要做的就是设置好白名单,严格控制标签。能自定义 css件麻烦事,因此最好使用成熟的开源框架来检查。php可以使用htmlpurify

五、防御DOM Based XSS

DOM Based XSS是从javascript中输出数据到HTML页面里。

script

var x = "$var";

document.write("a href='"+x+"'test/a");

/script

按照三中输出检查用到的防御方法,在x赋值时进行编码,但是当document.write输出数据到HTML时,浏览器重新渲染了页面,会将x进行解码,因此这么一来,相当于没有编码,而产生xss。

防御方法:首先,还是应该做输出防御编码的,但后面如果是输出到事件或脚本,则要再做一次javascriptEncode编码,如果是输出到HTML内容或属性,则要做一次HTMLEncode。

会触发DOM Based XSS的地方有很多:

document.write()、document.writeln()、xxx.innerHTML=、xxx.outerHTML=、innerHTML.replace、document.attachEvent()、window.attachEvent()、document.location.replace()、document.location.assign()

  新浪微博反射xss蠕虫 


评论


最新评论