未来……因为我感觉还不是时候开始写,不过可以先八卦八卦,回答些问题。

Q:为什么没写:BeEF/XSS Shell/Anetha/Shell of the Future等这类XSS利用框架?
A:
1. 他们自己的官方文档很清楚;
2. 我已经写了核心的一些东西了(比如很多攻击向量、XSS Proxy的各种技巧等),只是没进行框架化思想的介绍;
3. 我自己实现了一个,一些朋友见过,我没开源是有很多考虑的(最主要是我自己都没真的用爽),这就是我自己的那个“死亡”的原因;
4. 想来想去,框架化的思想留给读者去思考吧,雨后春笋很多的,都还不够好,目前坚持更新且如此国际范、开源范的就BeEF了,向BeEF致敬;
Continue reading

这些天专注了解了SSRF攻击(Server-side Request Forgery,服务器端请求伪造),对这类攻击有了自己的一些总结与看法,老外取这个名字是挺不错的,我很喜欢,这让我想到了CSRF(Cross-site Request Forgery,跨站请求伪造),前者是在服务器端发出了伪造的请求,后者是在浏览器端发出伪造请求。

@riyazwalikar的三篇实战文章不错:
http://www.riyazwalikar.com/2012/11/cross-site-port-attacks-xspa-part-1.html
http://www.riyazwalikar.com/2012/11/cross-site-port-attacks-xspa-part-2.html
http://www.riyazwalikar.com/2012/11/cross-site-port-attacks-xspa-part-3.html
Continue reading

前两天我因为web2hack.org挂了,而分析到原因(SAE云豆被刷尽:http://evilcos.me/?p=199),当时有些思路,想追踪下去,不过不明确,后来发现WordPress最新版3.5.1出来了,我看到官方说修补了几个安全问题(http://codex.wordpress.org/zh-cn:3.5.1_%E7%89%88%E6%9C%AC),其中有一条引起我的注意:

通过Pingback实现的服务器端请求伪造 (Server-side request forgery,SSRF)和远程端口扫描。 此漏洞是由Wordpress安全团队修复的。

追查下去,发现这个WordPress漏洞至少几个月前就在被大范围使用,2013-01-25被上报后,在最新发布的3.5.1版本修补了:https://bugzilla.redhat.com/show_bug.cgi?id=904120
Continue reading

几天前有朋友反馈《Web前端黑客技术揭秘》的官网:web2hack.org已经打不开了,提示云豆耗尽等,我分析分析找到了原因,登录sae后台:http://sae.sina.com.cn,在web2hack的“资源报表”里发现Fetch URL的流入流量消耗了31G多!!如下图:

查看“日志中心”,发现如下频繁请求:

特征:
118.26.201.238 [09/Feb/2013:13:40:46 +0800] /blog/xmlrpc.php 200 1622983 230 435
web2hack.org "POST HTTP/1.0" "-" "xmlrpclib.py/1.0.1 (by www.pythonware.com)" 118.26.201.238.1360388446415877 yq24

不断刷xmlrpc.php接口!导致流入流量很快就耗尽,解决方式:
1. 在”应用防火墙”里添加上面特征里的ip为黑名单;
2. 可以考虑删除xmlrpc.php文件;

其他同学注意了,后续的和本主题无关,不说了。

2013/2/11更新:关于WordPress xmlrpc.php Pingback缺陷与SSRF攻击