上篇文章(http://evilcos.me/?p=251)提到了跨子域安全问题,这已经是一些互联网大公司的宿命?我真想知道是哪位前端工程师或架构师将这种为了便利而滥用跨子域技巧的思想带到本该分离的业务里?这样埋下的种子总有一天会变成雷。这个技巧最常见的有两种模式:

1. 人人网那样,几乎所有子域都嵌入一段通用脚本,设置document.domain=”renren.com”;
2. 大多数网站(腾讯、百度、新浪等等)的做法:子域的某路径下有个ajaxproxy.htm或proxy.html等类似文件名的文件,里面的代码是:

Continue reading

这些天专注了解了SSRF攻击(Server-side Request Forgery,服务器端请求伪造),对这类攻击有了自己的一些总结与看法,老外取这个名字是挺不错的,我很喜欢,这让我想到了CSRF(Cross-site Request Forgery,跨站请求伪造),前者是在服务器端发出了伪造的请求,后者是在浏览器端发出伪造请求。

@riyazwalikar的三篇实战文章不错:
http://www.riyazwalikar.com/2012/11/cross-site-port-attacks-xspa-part-1.html
http://www.riyazwalikar.com/2012/11/cross-site-port-attacks-xspa-part-2.html
http://www.riyazwalikar.com/2012/11/cross-site-port-attacks-xspa-part-3.html
Continue reading

前两天我因为web2hack.org挂了,而分析到原因(SAE云豆被刷尽:http://evilcos.me/?p=199),当时有些思路,想追踪下去,不过不明确,后来发现WordPress最新版3.5.1出来了,我看到官方说修补了几个安全问题(http://codex.wordpress.org/zh-cn:3.5.1_%E7%89%88%E6%9C%AC),其中有一条引起我的注意:

通过Pingback实现的服务器端请求伪造 (Server-side request forgery,SSRF)和远程端口扫描。 此漏洞是由Wordpress安全团队修复的。

追查下去,发现这个WordPress漏洞至少几个月前就在被大范围使用,2013-01-25被上报后,在最新发布的3.5.1版本修补了:https://bugzilla.redhat.com/show_bug.cgi?id=904120
Continue reading

几天前有朋友反馈《Web前端黑客技术揭秘》的官网:web2hack.org已经打不开了,提示云豆耗尽等,我分析分析找到了原因,登录sae后台:http://sae.sina.com.cn,在web2hack的“资源报表”里发现Fetch URL的流入流量消耗了31G多!!如下图:

查看“日志中心”,发现如下频繁请求:

特征:
118.26.201.238 [09/Feb/2013:13:40:46 +0800] /blog/xmlrpc.php 200 1622983 230 435
web2hack.org "POST HTTP/1.0" "-" "xmlrpclib.py/1.0.1 (by www.pythonware.com)" 118.26.201.238.1360388446415877 yq24

不断刷xmlrpc.php接口!导致流入流量很快就耗尽,解决方式:
1. 在”应用防火墙”里添加上面特征里的ip为黑名单;
2. 可以考虑删除xmlrpc.php文件;

其他同学注意了,后续的和本主题无关,不说了。

2013/2/11更新:关于WordPress xmlrpc.php Pingback缺陷与SSRF攻击

服务很稳定,记录下:
openshift
赶紧抢注去吧:https://openshift.redhat.com,每个账号现在免费3个名额,然后创建自己的应用类型,我这是wordpress,所以直接创建上非常方便,默认账号是:admin/OpenShiftAdmin,然后通过wordpress导入之前的备份,这样就完成了内容迁移。
另外,openshift采用证书ssh/git等访问,很是方便,安装了rhc后进行命令行的一些高效管理,比如之后的域名绑定。

绑定域名
内容迁移完成后,我就要将evilcos.me这个域名指向过去了,命令行rhc执行如下命令:
rhc alias add blog evilcos.me
提示成功后就表示绑定成功。

使用加速乐
上面那个绑定只能说openshift接受了evilcos.me域名的指向,我们还得配置evilcos.me,我是在godaddy上注册的,我设置evilcos.me的DNS为加速乐提供的DNS,这个得注册好加速乐(www.jiasule.com),加速乐客服审核通过后,就可以设置NS方式或CNAME方式进行绑定,我选择的是NS方式,指导页面有告诉我设置怎样的DNS。
完成了DNS设置后,我将*.evilcos.me与evilcos.me都添加好了A记录(NS方式),指向openshift分配给我的二级域名的IP,大概过10来分钟,一切都搞定。

最后说下:加速乐来自我们(知道创宇),我们能让它更爽!

关于CSP:
CSP策略使得Web前端更有序,从而更安全,这是一个好趋势,W3C已经在大力推进这样的策略:http://www.w3.org/TR/CSP/。Firefox与Chrome已经开始支持,IE 10也会开始支持。

今晚我们讨论这个时,sogl发起的这些讨论:
http://zone.wooyun.org/content/1310

CSP策略在《Web前端黑客技术揭秘》中最后一章的“迟到的CSP策略”小节有详细描述,这里不多说了,跨站师需要关注关注CSP的动态:)

你们认为呢?
Continue reading

漏洞公告在这:http://www.securityfocus.com/archive/1/521359/30/60/threaded
Trustwave发布的,自己官网也贴了个:https://www.trustwave.com/spiderlabs/advisories/TWSL2012-002.txt

看看最后官方的答复,认为可以忽略。Trustwave避轻就重,还赚了三个CVE,这些漏洞是有场景的:wp没安装过的情况下才可以。来一个个看下。
Continue reading

目标:超越已知的XSS利用平台(XSS Shell, BeEF, Anehta, CAL9000等),集大成者,快了,快了。

架构清晰,扩展容易。还是用自己的东西比较放心,自己完全打造有种优越感。先告一段落吧,本来是作为我那本书的一个附赠之物,可是发现已经不合适了,会引来不必要的麻烦。

因为自己的时间实在太紧,但是还是抽出时间来一步步完善这个,所以进度慢的很。
下一步继续完善各种细节(我爱深抠细节),并加入更多各种HTML5特性支持。

这个平台的名字我早就取好名了:web2ghost
就像是潜伏在你浏览器周围的鬼魂,看不见,可威胁却在持续……这个平台极大地方便我们进行XSS&CSRF等基于Web前端的漏洞利用。
Django&Python&MySQL&jQuery构建。
Continue reading