压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　在互聯(lián)網(wǎng)高速發(fā)展的今天，安全技術(shù)相對來說還是比較封閉的，走偏了的安全技術(shù)甚至是一種以暴力的手段來謀取利益的方式，這種現(xiàn)象很普遍，由于利益的驅(qū)使，黑客的攻擊手段技術(shù)永遠的走在了防御技術(shù)的前面。烏云作為白帽社區(qū)與企業(yè)之間的橋梁，在本屆安全峰會中，邀請到社區(qū)中頂尖的白帽子和企業(yè)防御體系最佳實踐者，共同探討了信息安全問題的解決之道。

　　孟卓（瘋狗）是烏云聯(lián)合創(chuàng)始人、烏云主站負責(zé)人，“瘋狗”這個名字令人印象深刻，他在互聯(lián)網(wǎng)方面（新浪網(wǎng)）工作了很多年，也發(fā)現(xiàn)了很多弊端。而建立烏云的初衷就是來完善和解決這些弊端，對發(fā)現(xiàn)的漏洞做一些防御的體系，此外，更重要的一點就是白帽子們發(fā)現(xiàn)這些問題是想反饋給廠商，得到廠商的重視，同時使烏云的技術(shù)在業(yè)界引起一定的反響，在技術(shù)上得到進一步的提升。

　　烏云平臺有其不可或缺的價值，那就是能讓安全研究人員通過烏云平臺相互認識，學(xué)習(xí)到彼此的技術(shù)和技能，得到獲取更高榮譽的機會。同時，讓企業(yè)了解到其真實的安全現(xiàn)狀，為企業(yè)進行正向宣傳；讓普通用戶了解到問題所在和如何自保。

　　這是一個良好的循環(huán)過程。活躍在不只是烏云平臺還有眾測平臺和社區(qū)中等的白帽子提供和報告安全漏洞，企業(yè)進行修復(fù)，用戶了解到這些安全問題信息，對企業(yè)提出安全需求，企業(yè)以此加強自身的安全建設(shè)同時重視白帽子的價值，最后更多的白帽子加入到詞循環(huán)中，創(chuàng)造更多的價值。

　　同時，烏云眾測平臺也將更新上線，此平臺將幫助哪些想要主動杜絕安全風(fēng)險的用戶，從主動與被動的方式為企業(yè)提供全方位的安全服務(wù)，同時也給白帽子提供得到合法收入的機會。

　　烏云白帽子解讀XSS僵尸網(wǎng)絡(luò)

　　烏云的白帽子Gainover其實是個生物研究工作者，其開場叫人可一窺烏云白帽子的風(fēng)采，Gainover從XSS漏洞是什么開始講起，傳達出的幽默而不失嚴謹?shù)膽B(tài)度也是整個大會傳達出的感覺。

　　XSS漏洞就是當(dāng)你瀏覽一個正常頁面的時候，此頁面能被攻擊者插入惡意代碼，那就可以說此頁面時候XSS漏洞的。XSS漏洞挖掘?qū)嶋H就是你想盡辦法把自己的代碼插到別人的網(wǎng)頁中去。而XSS漏洞利用就是插入了惡意代碼，能做你想做且這個瀏覽器能做的事情，這就是XSS漏洞利用。

　　烏云上已經(jīng)有很多XSS漏洞利用的案例，Gainover的關(guān)注點就在XSS漏洞的利用上。

　　大家聽說過XSS是蠕蟲，像微博，百度貼吧，都發(fā)生過這個蠕蟲案例，它是會放大的。簡單來說原理就是黑客發(fā)一條微博，這個鏈接里會有惡意代碼，當(dāng)用戶點擊黑客發(fā)布的內(nèi)容或者鏈接之后，這個代碼會讓用戶自己也發(fā)條微博，這里同樣也有惡意代碼。這樣的話，含有惡意代碼的微博會呈現(xiàn)幾何級增長的，所以可以在很短時間內(nèi)得到很大的爆發(fā)量，這對社交網(wǎng)絡(luò)來說是危害很大的攻擊方式。

　　另外，XSS分布式服務(wù)攻擊，利用搜狐視頻漏洞進行攻擊就是一個案例。實際上，黑客在像搜狐視頻這樣大的網(wǎng)站里插入惡意代碼，當(dāng)用戶訪問大流量網(wǎng)站，比如在觀看視頻的時候，用戶瀏覽器會自動執(zhí)行黑客命令，黑客命令可能會向他所要攻擊的目標(biāo)網(wǎng)站，一秒鐘發(fā)出請求，搜狐有十萬客戶觀看這個視頻的話，就呈幾何級的增長，這樣就使目標(biāo)網(wǎng)站停止服務(wù)了。

　　“水坑攻擊”是也在烏云上發(fā)布過的案例。為什么叫水坑攻擊？在草原上，獵食者都會在水邊等待獵物，就像是這個XSS漏洞。有時候我們要去攻擊的某個目標(biāo)是很難接觸到的，知道想要攻擊的目標(biāo)將要瀏覽哪個網(wǎng)站，那就可以植入XSS，等待目標(biāo)上鉤 。

　　面對XSS漏洞廠商和攻擊者分別是什么樣的態(tài)度呢？實際上XSS漏洞相比傳統(tǒng)漏洞其危害小的多，對于一些廠商，特別是國內(nèi)廠商來說這種類型的漏洞就像牛皮癬一樣，清都清不完，它一直存在。廠商有的時候要么修，要么有的覺得域名不重要就不修了。對攻擊者來說，實際上XSS可以干很多事情，首先，可以獲取個人信息，第二個，XSS可用來偽造釣魚頁面，套取受害者的帳號密碼等。烏云上也有利用搜狗拼音來釣魚的案例。

　　而Gainover所說的被忽略的漏洞是在2013年被發(fā)布出來的，優(yōu)酷分站一個存儲型XSS漏洞。此漏洞的危害度很高。后來這個危害還被忽略了，也公開了，但這個漏洞還沒被修復(fù)。Gainover表示：“為什么會被忽略，這個是我不能理解的。首先我猜，難道是因為存在缺陷的域名不是優(yōu)酷自己的域名。”

　　實際上，XSS影響域名的話它確實是“優(yōu)酷.com”，至少從影響的域名來看的話是應(yīng)該被修的，而不是被忽略的漏洞。第二，哪怕你是第三方文件導(dǎo)致自身的域名，不是你自己文件下的，為什么沒有通知第三方來修，這也是Gainover所不能理解的。漏洞被忽略之后會有什么后果？Gainover用一段視頻生動的為大家演示了一遍。結(jié)果是，用戶只要曾經(jīng)訪問過我們惡意構(gòu)造的頁面，之后不管他看哪個頁面都會執(zhí)行惡意代碼。也就是說，這些視頻網(wǎng)站都受影響的。大家知道，有很多網(wǎng)站會調(diào)用優(yōu)酷網(wǎng)或者其他網(wǎng)站，這樣它們也是很大的受害群體。

　　再有就是，很多用戶對對XSS不了解或者不理解它的危害，可能看我之前的視頻，彈個窗口點個OK，覺得沒有什么影響。Gainover也用自己實際操作的視頻為我們演示了一遍黑客是如何通過彈窗獲得我們QQ上面的數(shù)據(jù)。而且更關(guān)鍵的是，這個東西只要你不清理它，它一直存在在你電腦上的，總有一天你會上鉤的。

　　另外Gainover還發(fā)現(xiàn)了很多漏洞。比如全部博客可留后門。只要你是新浪博客用戶，不管你以后訪問新浪博客任意文件，都會執(zhí)行我這個惡意代碼的。還有淘寶支付寶，這個叫一個可大規(guī)模悄無聲息竊取淘寶支付寶帳號的。

　　XSS僵尸網(wǎng)絡(luò)本身的漏洞特點就有隱蔽性。二來傳統(tǒng)的殺毒軟件很難防御此類攻擊，所以對用戶這一層的話，用戶是很難去發(fā)覺他們是已經(jīng)中招的了。而且其有持久性的特點，它長期存在用戶電腦上，如果不是自己去清Flash Cookies的話是很難清掉的。最后其流量大的特點使其的危害也很大。

　　Gainover總結(jié)道：“這種類型的做僵尸網(wǎng)絡(luò)的話，首先感染階段，然后是執(zhí)行階段，從危害上來說的話，我覺得影響幾乎全國所有網(wǎng)站的。”

　　目前烏云已經(jīng)接到了75000家漏洞報告，而且這個數(shù)量還在飛速增長，其安全漏洞TOP 10也是根據(jù)已發(fā)生的漏洞進行統(tǒng)計的，十分客觀和有價值。這些被報告的漏洞對烏云、對企業(yè)和白帽子來說都是一份無形的財產(chǎn)，覆蓋廣泛的案例也利于烏云接下來的積極分析。

　　烏云平臺上活躍的白帽子來自各行各業(yè)，有專業(yè)從事互聯(lián)網(wǎng)安全的也有醫(yī)生、教師等，此次到會最小的白帽子還是小學(xué)生。他們提供漏洞信息報告所面向的廠商種類也很多，有互聯(lián)網(wǎng)的媒體、網(wǎng)絡(luò)金融、電子商務(wù)、社交平臺、移動應(yīng)用、軟件開發(fā)商和安全服務(wù)商等等，覆蓋了國內(nèi)的互聯(lián)網(wǎng)網(wǎng)絡(luò)。烏云想把安全圈子變成"WooHo"，所有白帽子可以隨心所欲的安排自己的生活，又同時通過實現(xiàn)自己白帽子的價值得到相應(yīng)的報酬。是不是很令人向往？