白帽子們的“烏托邦”——烏云
責編:admin |2014-09-23 14:20:10在互聯網高速發展的今天,安全技術相對來說還是比較封閉的,走偏了的安全技術甚至是一種以暴力的手段來謀取利益的方式,這種現象很普遍,由于利益的驅使,黑客的攻擊手段技術永遠的走在了防御技術的前面。烏云作為白帽社區與企業之間的橋梁,在本屆安全峰會中,邀請到社區中頂尖的白帽子和企業防御體系最佳實踐者,共同探討了信息安全問題的解決之道。
孟卓(瘋狗)是烏云聯合創始人、烏云主站負責人,“瘋狗”這個名字令人印象深刻,他在互聯網方面(新浪網)工作了很多年,也發現了很多弊端。而建立烏云的初衷就是來完善和解決這些弊端,對發現的漏洞做一些防御的體系,此外,更重要的一點就是白帽子們發現這些問題是想反饋給廠商,得到廠商的重視,同時使烏云的技術在業界引起一定的反響,在技術上得到進一步的提升。
烏云平臺有其不可或缺的價值,那就是能讓安全研究人員通過烏云平臺相互認識,學習到彼此的技術和技能,得到獲取更高榮譽的機會。同時,讓企業了解到其真實的安全現狀,為企業進行正向宣傳;讓普通用戶了解到問題所在和如何自保。
這是一個良好的循環過程。活躍在不只是烏云平臺還有眾測平臺和社區中等的白帽子提供和報告安全漏洞,企業進行修復,用戶了解到這些安全問題信息,對企業提出安全需求,企業以此加強自身的安全建設同時重視白帽子的價值,最后更多的白帽子加入到詞循環中,創造更多的價值。
同時,烏云眾測平臺也將更新上線,此平臺將幫助哪些想要主動杜絕安全風險的用戶,從主動與被動的方式為企業提供全方位的安全服務,同時也給白帽子提供得到合法收入的機會。
烏云白帽子解讀XSS僵尸網絡
烏云的白帽子Gainover其實是個生物研究工作者,其開場叫人可一窺烏云白帽子的風采,Gainover從XSS漏洞是什么開始講起,傳達出的幽默而不失嚴謹的態度也是整個大會傳達出的感覺。
XSS漏洞就是當你瀏覽一個正常頁面的時候,此頁面能被攻擊者插入惡意代碼,那就可以說此頁面時候XSS漏洞的。XSS漏洞挖掘實際就是你想盡辦法把自己的代碼插到別人的網頁中去。而XSS漏洞利用就是插入了惡意代碼,能做你想做且這個瀏覽器能做的事情,這就是XSS漏洞利用。
烏云上已經有很多XSS漏洞利用的案例,Gainover的關注點就在XSS漏洞的利用上。
大家聽說過XSS是蠕蟲,像微博,百度貼吧,都發生過這個蠕蟲案例,它是會放大的。簡單來說原理就是黑客發一條微博,這個鏈接里會有惡意代碼,當用戶點擊黑客發布的內容或者鏈接之后,這個代碼會讓用戶自己也發條微博,這里同樣也有惡意代碼。這樣的話,含有惡意代碼的微博會呈現幾何級增長的,所以可以在很短時間內得到很大的爆發量,這對社交網絡來說是危害很大的攻擊方式。
另外,XSS分布式服務攻擊,利用搜狐視頻漏洞進行攻擊就是一個案例。實際上,黑客在像搜狐視頻這樣大的網站里插入惡意代碼,當用戶訪問大流量網站,比如在觀看視頻的時候,用戶瀏覽器會自動執行黑客命令,黑客命令可能會向他所要攻擊的目標網站,一秒鐘發出請求,搜狐有十萬客戶觀看這個視頻的話,就呈幾何級的增長,這樣就使目標網站停止服務了。
“水坑攻擊”是也在烏云上發布過的案例。為什么叫水坑攻擊?在草原上,獵食者都會在水邊等待獵物,就像是這個XSS漏洞。有時候我們要去攻擊的某個目標是很難接觸到的,知道想要攻擊的目標將要瀏覽哪個網站,那就可以植入XSS,等待目標上鉤 。
面對XSS漏洞廠商和攻擊者分別是什么樣的態度呢?實際上XSS漏洞相比傳統漏洞其危害小的多,對于一些廠商,特別是國內廠商來說這種類型的漏洞就像牛皮癬一樣,清都清不完,它一直存在。廠商有的時候要么修,要么有的覺得域名不重要就不修了。對攻擊者來說,實際上XSS可以干很多事情,首先,可以獲取個人信息,第二個,XSS可用來偽造釣魚頁面,套取受害者的帳號密碼等。烏云上也有利用搜狗拼音來釣魚的案例。
而Gainover所說的被忽略的漏洞是在2013年被發布出來的,優酷分站一個存儲型XSS漏洞。此漏洞的危害度很高。后來這個危害還被忽略了,也公開了,但這個漏洞還沒被修復。Gainover表示:“為什么會被忽略,這個是我不能理解的。首先我猜,難道是因為存在缺陷的域名不是優酷自己的域名。”
實際上,XSS影響域名的話它確實是“優酷.com”,至少從影響的域名來看的話是應該被修的,而不是被忽略的漏洞。第二,哪怕你是第三方文件導致自身的域名,不是你自己文件下的,為什么沒有通知第三方來修,這也是Gainover所不能理解的。漏洞被忽略之后會有什么后果?Gainover用一段視頻生動的為大家演示了一遍。結果是,用戶只要曾經訪問過我們惡意構造的頁面,之后不管他看哪個頁面都會執行惡意代碼。也就是說,這些視頻網站都受影響的。大家知道,有很多網站會調用優酷網或者其他網站,這樣它們也是很大的受害群體。
再有就是,很多用戶對對XSS不了解或者不理解它的危害,可能看我之前的視頻,彈個窗口點個OK,覺得沒有什么影響。Gainover也用自己實際操作的視頻為我們演示了一遍黑客是如何通過彈窗獲得我們QQ上面的數據。而且更關鍵的是,這個東西只要你不清理它,它一直存在在你電腦上的,總有一天你會上鉤的。
另外Gainover還發現了很多漏洞。比如全部博客可留后門。只要你是新浪博客用戶,不管你以后訪問新浪博客任意文件,都會執行我這個惡意代碼的。還有淘寶支付寶,這個叫一個可大規模悄無聲息竊取淘寶支付寶帳號的。
XSS僵尸網絡本身的漏洞特點就有隱蔽性。二來傳統的殺毒軟件很難防御此類攻擊,所以對用戶這一層的話,用戶是很難去發覺他們是已經中招的了。而且其有持久性的特點,它長期存在用戶電腦上,如果不是自己去清Flash Cookies的話是很難清掉的。最后其流量大的特點使其的危害也很大。
Gainover總結道:“這種類型的做僵尸網絡的話,首先感染階段,然后是執行階段,從危害上來說的話,我覺得影響幾乎全國所有網站的。”
目前烏云已經接到了75000家漏洞報告,而且這個數量還在飛速增長,其安全漏洞TOP 10也是根據已發生的漏洞進行統計的,十分客觀和有價值。這些被報告的漏洞對烏云、對企業和白帽子來說都是一份無形的財產,覆蓋廣泛的案例也利于烏云接下來的積極分析。
烏云平臺上活躍的白帽子來自各行各業,有專業從事互聯網安全的也有醫生、教師等,此次到會最小的白帽子還是小學生。他們提供漏洞信息報告所面向的廠商種類也很多,有互聯網的媒體、網絡金融、電子商務、社交平臺、移動應用、軟件開發商和安全服務商等等,覆蓋了國內的互聯網網絡。烏云想把安全圈子變成"WooHo",所有白帽子可以隨心所欲的安排自己的生活,又同時通過實現自己白帽子的價值得到相應的報酬。是不是很令人向往?