百度、阿里、腾讯在列:“水坑攻击”利用JSONP劫持跟踪用户


发布人:admin分类:网络安全浏览量:31发布时间:2017-12-12

你可以想象一下,如果一个专制国家得到了一种能够获取用户个人隐私信息的工具,而且这种工具能够获取用户在特定网站上的真实姓名,邮箱地址,性别,生日和手机号码等等,那会是个什么样的场景?你还可以想象一下,专制政府甚至可以通过这种技术,来监视或阻止用户通过TOR或VPN链接来绕过这种工具的控制。

至少从2013年10月起,水坑攻击便以非政府组织,维吾尔族群体以及伊斯兰民族的网站为攻击目标进行了大量的攻击。在这篇文章中,我们将会对这一系列包括近期所检测到的攻击在内的水坑攻击进行详细描述。在这里,我们要感谢Sumayah Alrwais,他是印第安纳大学系统安全实验室的一名博士研究生,正是他在RSA实验室中发现了这种最新的水坑攻击,并提醒了我们该攻击正在影响中国的各大国际性非政府组织的网站。

水坑攻击

水坑攻击是一种黑客技术,如果一个黑客想要攻击一个特定的组织(公司,企业,少数民族团体等等),便可以使用这种技术来实现攻击。攻击者首先入侵目标组织的官方网站,然后将恶意代码注入至网站之中,当用户访问受感染的网站时,恶意代码将会被执行。

通常情况下,攻击者可以通过恶意服务器,然后利用IE浏览器,Java插件,或者Flash播放器的漏洞来导入一个iframe或者一个JavaScript脚本文件,最终获取目标主机系统的访问权限。

我们对一些在过去所发生的攻击事件进行了记录和研究,下面是一些攻击示例:

l  Just another water hole campaign using an Internet Explorer 0day
l  U.S. Department of Labor website hacked and redirecting to malicious code

在其他情况下,我们还发现,在有的水坑攻击中,黑客还使用了勘查技术来提取安装在目标主机设备中的软件信息,甚至使用了JavaScript键盘记录脚本来窃取用户的账户凭证等数据:

l  Attackers abusing Internet Explorer to enumerate software and detect security products
l  Scanbox: A Reconnaissance Framework Used with Watering Hole Attacks

除此之外,这已经不是我们第一次记录到针对中国维吾尔族的网络间谍行动了:

l  Cyber espionage campaign against the Uyghur community, targeting MacOSX systems
l  New MaControl variant targeting Uyghur users, the Windows version using Gh0st RAT
l  Latest Adobe PDF exploit used to target Uyghur and Tibetan activists

我们所描述的最新攻击是一种新颖的技术,而且我们之前从未在水坑攻击中见过此类技术。接下来我们会详细描述其工作原理:

l  攻击者入侵与非政府组织,维吾尔族团体,以及伊斯兰协会有联系的中文网站。

l  在入侵成功之后,攻击者会修改网站的内容,并且通过恶意服务器来导入一个JavaScript脚本文件。

l  这个JavaScript脚本文件会利用JSONP劫持漏洞,这种漏洞存在于15个不同的大型中文网站之中,包括中国用户所广泛使用的五大门户网站。(详情请看下表)

l  如果用户登录了其中一个被入侵的网站,或使用了网站所提供的受感染的服务,那么通过使用JSONP请求,攻击者便能够绕过跨域请求机制,并且能够收集到用户的个人隐私信息。

l  然后,JavaScript脚本代码便会将用户的隐私数据传输到一个由攻击者控制的服务器中。

当我们开始写这篇文章的时候,我们并没准备将受影响的网站公布出来。然而,经过了一系列的调查和研究之后,我们发现这种同样的漏洞已经在2013年就被公布出来了! 

漏洞的详情可以在一篇中文的安全博文和几大中文安全论坛中找到。

为了让大家清楚该问题的严重性,我们将向大家展示受影响网站的Alexa评级名单,攻击者可以窃取这些网站中的用户隐私数据:

攻击分析

JSONP是一种广泛使用的技术,它可以通过发起JavaScript的跨域请求来绕过同源策略。然而,绕过同源策略会导致不同源或域之间的数据泄漏。而且,尤其是当JSONP涉及到了用户的数据信息时,这样是极其危险的。既然JSONP请求/回应能够绕过同源策略,那么恶意网站便能够通过这种机制,让目标主机发起跨域JSONP请求,并使用”脚本”标签来读取用户的隐私数据。

下面,我们向大家介绍一个例子,这是在一个水坑攻击中发现的一个恶意JavaScript脚本,我们对其还进行了分析和研究。

首先,恶意JavaScript脚本会向一个有漏洞的服务器发起一个带有<脚本>标签的JSONP请求。代码如下,脚本请求了renren_all的函数调用:

含有漏洞的网站会以下列内容来回应请求:

当浏览器收到数据之后,它会调用renren_all回调函数,该功能函数会将用户的个人数据发送至一个由攻击者控制的服务器中,这些数据包括用户的性别,生日,真实姓名以及ID号等等。

     在发送完了所有的JSONP请求之后,恶意JavaScript脚本会将数据发送至一个由攻击者控制的服务器中:

除此之外,我们还发现在其中一个恶意JavaScript脚本文件内,包含有能够返回用户的公共地址以及私人地址信息的代码,这些脚本使用了带有震网病毒的WebRTC技术,详情请点击这里。

安全建议

名单中列出的受影响网站(百度,淘宝等网站)应当立即修复JSONP劫持漏洞。下面是一些修复该漏洞的方法:

-在所有的JSONP请求中引入一个随机值(这样同样能够预防CSRF攻击)
-使用CORS来代替JSONP
-不要使用cookies来自定义JSONP响应
-在JSONP响应中不要加入用户的个人数据

*原文地址,翻译:懒懒dě-nms,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21444389(PV) 页面执行时间:95.407(MS)
  • xml
  • 网站地图