白帽子们的“乌托邦”——乌云

  在互联网高速发展的今天,安全技术相对来说还是比较封闭的,走偏了的安全技术甚至是一种以暴力的手段来谋取利益的方式,这种现象很普遍,由于利益的驱使,黑客的攻击手段技术永远的走在了防御技术的前面。乌云作为白帽社区与企业之间的桥梁,在本届安全峰会中,邀请到社区中顶尖的白帽子和企业防御体系最佳实践者,共同探讨了信息安全问题的解决之道。

  孟卓(疯狗)是乌云联合创始人、乌云主站负责人,“疯狗”这个名字令人印象深刻,他在互联网方面(新浪网)工作了很多年,也发现了很多弊端。而建立乌云的初衷就是来完善和解决这些弊端,对发现的漏洞做一些防御的体系,此外,更重要的一点就是白帽子们发现这些问题是想反馈给厂商,得到厂商的重视,同时使乌云的技术在业界引起一定的反响,在技术上得到进一步的提升。

  乌云平台有其不可或缺的价值,那就是能让安全研究人员通过乌云平台相互认识,学习到彼此的技术和技能,得到获取更高荣誉的机会。同时,让企业了解到其真实的安全现状,为企业进行正向宣传;让普通用户了解到问题所在和如何自保。

  这是一个良好的循环过程。活跃在不只是乌云平台还有众测平台和社区中等的白帽子提供和报告安全漏洞,企业进行修复,用户了解到这些安全问题信息,对企业提出安全需求,企业以此加强自身的安全建设同时重视白帽子的价值,最后更多的白帽子加入到词循环中,创造更多的价值。

  同时,乌云众测平台也将更新上线,此平台将帮助哪些想要主动杜绝安全风险的用户,从主动与被动的方式为企业提供全方位的安全服务,同时也给白帽子提供得到合法收入的机会。

  乌云白帽子解读XSS僵尸网络

  乌云的白帽子Gainover其实是个生物研究工作者,其开场叫人可一窥乌云白帽子的风采,Gainover从XSS漏洞是什么开始讲起,传达出的幽默而不失严谨的态度也是整个大会传达出的感觉。

  XSS漏洞就是当你浏览一个正常页面的时候,此页面能被攻击者插入恶意代码,那就可以说此页面时候XSS漏洞的。XSS漏洞挖掘实际就是你想尽办法把自己的代码插到别人的网页中去。而XSS漏洞利用就是插入了恶意代码,能做你想做且这个浏览器能做的事情,这就是XSS漏洞利用。

  乌云上已经有很多XSS漏洞利用的案例,Gainover的关注点就在XSS漏洞的利用上。

  大家听说过XSS是蠕虫,像微博,百度贴吧,都发生过这个蠕虫案例,它是会放大的。简单来说原理就是黑客发一条微博,这个链接里会有恶意代码,当用户点击黑客发布的内容或者链接之后,这个代码会让用户自己也发条微博,这里同样也有恶意代码。这样的话,含有恶意代码的微博会呈现几何级增长的,所以可以在很短时间内得到很大的爆发量,这对社交网络来说是危害很大的攻击方式。

  另外,XSS分布式服务攻击,利用搜狐视频漏洞进行攻击就是一个案例。实际上,黑客在像搜狐视频这样大的网站里插入恶意代码,当用户访问大流量网站,比如在观看视频的时候,用户浏览器会自动执行黑客命令,黑客命令可能会向他所要攻击的目标网站,一秒钟发出请求,搜狐有十万客户观看这个视频的话,就呈几何级的增长,这样就使目标网站停止服务了。

  “水坑攻击”是也在乌云上发布过的案例。为什么叫水坑攻击?在草原上,猎食者都会在水边等待猎物,就像是这个XSS漏洞。有时候我们要去攻击的某个目标是很难接触到的,知道想要攻击的目标将要浏览哪个网站,那就可以植入XSS,等待目标上钩 。

  面对XSS漏洞厂商和攻击者分别是什么样的态度呢?实际上XSS漏洞相比传统漏洞其危害小的多,对于一些厂商,特别是国内厂商来说这种类型的漏洞就像牛皮癣一样,清都清不完,它一直存在。厂商有的时候要么修,要么有的觉得域名不重要就不修了。对攻击者来说,实际上XSS可以干很多事情,首先,可以获取个人信息,第二个,XSS可用来伪造钓鱼页面,套取受害者的帐号密码等。乌云上也有利用搜狗拼音来钓鱼的案例。

  而Gainover所说的被忽略的漏洞是在2013年被发布出来的,优酷分站一个存储型XSS漏洞。此漏洞的危害度很高。后来这个危害还被忽略了,也公开了,但这个漏洞还没被修复。Gainover表示:“为什么会被忽略,这个是我不能理解的。首先我猜,难道是因为存在缺陷的域名不是优酷自己的域名。”

  实际上,XSS影响域名的话它确实是“优酷.com”,至少从影响的域名来看的话是应该被修的,而不是被忽略的漏洞。第二,哪怕你是第三方文件导致自身的域名,不是你自己文件下的,为什么没有通知第三方来修,这也是Gainover所不能理解的。漏洞被忽略之后会有什么后果?Gainover用一段视频生动的为大家演示了一遍。结果是,用户只要曾经访问过我们恶意构造的页面,之后不管他看哪个页面都会执行恶意代码。也就是说,这些视频网站都受影响的。大家知道,有很多网站会调用优酷网或者其他网站,这样它们也是很大的受害群体。

  再有就是,很多用户对对XSS不了解或者不理解它的危害,可能看我之前的视频,弹个窗口点个OK,觉得没有什么影响。Gainover也用自己实际操作的视频为我们演示了一遍黑客是如何通过弹窗获得我们QQ上面的数据。而且更关键的是,这个东西只要你不清理它,它一直存在在你电脑上的,总有一天你会上钩的。

  另外Gainover还发现了很多漏洞。比如全部博客可留后门。只要你是新浪博客用户,不管你以后访问新浪博客任意文件,都会执行我这个恶意代码的。还有淘宝支付宝,这个叫一个可大规模悄无声息窃取淘宝支付宝帐号的。

  XSS僵尸网络本身的漏洞特点就有隐蔽性。二来传统的杀毒软件很难防御此类攻击,所以对用户这一层的话,用户是很难去发觉他们是已经中招的了。而且其有持久性的特点,它长期存在用户电脑上,如果不是自己去清Flash Cookies的话是很难清掉的。最后其流量大的特点使其的危害也很大。

  Gainover总结道:“这种类型的做僵尸网络的话,首先感染阶段,然后是执行阶段,从危害上来说的话,我觉得影响几乎全国所有网站的。”

  目前乌云已经接到了75000家漏洞报告,而且这个数量还在飞速增长,其安全漏洞TOP 10也是根据已发生的漏洞进行统计的,十分客观和有价值。这些被报告的漏洞对乌云、对企业和白帽子来说都是一份无形的财产,覆盖广泛的案例也利于乌云接下来的积极分析。

  乌云平台上活跃的白帽子来自各行各业,有专业从事互联网安全的也有医生、教师等,此次到会最小的白帽子还是小学生。他们提供漏洞信息报告所面向的厂商种类也很多,有互联网的媒体、网络金融、电子商务、社交平台、移动应用、软件开发商和安全服务商等等,覆盖了国内的互联网网络。乌云想把安全圈子变成"WooHo",所有白帽子可以随心所欲的安排自己的生活,又同时通过实现自己白帽子的价值得到相应的报酬。是不是很令人向往?

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:卡巴斯基新调查:不可不防的移动设备遗失