关于xss盲打关于xss盲打

　　关于xss盲打关于xss盲打

　　

　　又到了各种年终总结的时候了，先祝各位看官“圣诞快乐”。我记得有朋友问我在2012年里有没有“猥琐流”比较出彩的东西时，我给的答案是“xss盲打”!

　　关于“盲打”这个词语的出现，最早应该是在wooyun里id为“胯下有杀气”的马甲提出的。最早的一个wooyun案列是2012年7月提交的《WooYun-2012-09547》 ，由此xss盲打火了起来，当然wooyun推出的xss平台xsser.me也火了。于是到处都是“xxx盲打”，“xsser.tw”，“xsser.xx” ....

　　无独有偶，在从不多的时间段里，西方时间也出现了同样的攻击手法及平台。在2012年7月的defcon20上“Adam "EvilPacket" Baldwin”演讲的议题《Blind XSS》 然后他也推出了一个平台xss.io 至于一切都是巧合，还是东西方有啥子关联，就没办法去考证了~~

　　那 到底什么是“xss盲打”呢? “xss盲打”是指在攻击者对数据提交后展现的后台未知的情况下，网站采用了攻击者插入了带真实攻击功能的xss攻击代码 (通常是使用script标签引入远程的js)的数据。当未知后台在展现时没有对这些提交的数据进行过滤，那么后台管理人员在操作时就会触发xss来实现 攻击者预定好的“真实攻击功能”。

　　对于这种攻击方式，对于我来说最早可以追溯到2007年我写的blog文《dz升级检测功能的黑盒测试》不过可惜的当时并没有去实践，而只是提出了攻击思路。还有值得一提的是在那挂马横行的年代，基本所有的“箱子”对于木马提交的“密码”、“ip”等数据都是缺少xss过滤的。所以当时也有人整过挂马箱子的盲打。

　　这个时间段差不多有5年，我想这个原因可能还是“对交互恐惧”导致的，我在《也策漏洞利用》 有 提到过这样问题。而为什么会“火”呢?也是上面那个原因，对与攻击者来说，越是不确定，攻击成功后带来的心理收益是比较高的! 然后加上这个时代的年轻黑 客们已经没有了当年我们对于攻击失败而产生的羞涩感了! 还有一个原因就是各大甲方对于安全的藐视，对于一个未对外开发的后台来说，他们根本就意识不到危 险。不经历风雨，是见不到彩虹的，所以“甲方都需要教育!”。

　　我们回到时间的主线上，在2011年12月我在淘宝培训的ppt《WEB2.0下的渗透测试》提到了多个真实的案列。根据这些案列，我们可以把“xss盲打”分为2大类：

　　这个分类是站在攻击者提交数据的角度上来区分的。

　　1、主动型

　　是指攻击者在对网站采取数据的方式已知，而对数据展现的后台未知的情况下，通过主动提交具有真实攻击功能xss代码给程序导致的xss盲打。在《WEB2.0下的渗透测试》里提到的“螳螂捕蝉”及wooyun上那些案例基本都是属于主动型。

　　2、被动型

　　是 指攻击者对网站采去数据的方式及对数据后台都未知的情况下，通过把插有真实攻击功能的xss代码的数据，使用“撒鱼饵”方式散布，一旦有网站抓取了你的 “鱼饵”，而触发的xss盲打。这种攻击方式好像太大的随意性，感觉很难成功。但是也是这样的随意性，可能给攻击者带来更加意外的收获。在《WEB2.0下的渗透测试》里提到的“来自‘漏洞库’的漏洞”及“是谁想动了我的奶酪?”都属于被动型。这也是我常在blog里提到的“预留攻击接口”意识的体现!

　　最后用那句“虫子永远属于那些有想法勤劳的小鸟”结尾!