XSS-червь - XSS worm

An XSS-червь, иногда называемый межсайтовый скриптинг вирус,[1] является вредоносной (или иногда не вредоносной) полезной нагрузкой, обычно написанной на JavaScript, что нарушает безопасность браузера для распространения среди посетителей веб-сайта в попытке прогрессивно заражать другие посетители.[2] Впервые они были упомянуты в 2002 году в связи с уязвимостью межсайтового скриптинга в Hotmail.[3]

Концепция

Черви XSS используют уязвимость системы безопасности, известную как межсайтовый скриптинг (или же XSS для краткости) внутри веб-сайта, заражая пользователей различными способами в зависимости от уязвимости. Такие возможности сайта как профили и системы чата могут быть затронуты червями XSS при неправильной реализации или без учета безопасности. Часто эти черви специфичны для одного веб-сайта и быстро распространяются за счет использования определенных уязвимостей.

Уязвимости межсайтового скриптинга обычно используются в виде червей на популярных социальных или коммерческих веб-сайтах, таких как Мое пространство, Yahoo!, Orkut, Justin.tv, Facebook и Twitter. Эти черви могут использоваться со злым умыслом, давая злоумышленнику возможность украсть личную информацию, предоставленную веб-сайту, например пароли или номера кредитных карт.

Примеры

Несколько червей XSS поразили популярные веб-сайты.

Сами червь

Червь Samy, самый крупный из известных XSS-червей, заразил более 1 миллиона человек. Мое пространство профили менее чем за 20 часов. На автора вируса был подан иск, и он заключил соглашение о признании вины за совершение уголовного преступления.[4]

Justin.tv червь

График, показывающий развитие червя XSS, поразившего 2525 пользователей Justin.tv

Justin.tv - это сайт для кастинга видео с активной пользовательской базой около 20 тысяч пользователей. Уязвимость межсайтового скриптинга, которая была использована, заключалась в том, что поле профиля «Местоположение» не было должным образом обработано перед его включением на страницу профиля.

Поле профиля «Местоположение» было очищено при включении в заголовок страницы профиля, но не в фактическом поле в теле страницы. Это означало, что авторы червя, чтобы добиться скрытности для увеличения времени жизни и распространения червя, должны были автоматически удалить полезную нагрузку XSS из заголовка страницы из кода червя, который уже был скрыт комментариями.

После надлежащей разработки червь был запущен примерно в субботу, 28 июня 2008 г., 21:52:33 UTC, и завершился в воскресенье, 29 июня 2008 г., 21:12:21 UTC. Поскольку целевой социальный веб-сайт не был особенно активен (по сравнению с другими популярными целями-червями XSS), червь заразил в общей сложности 2525 профилей примерно за 24 часа.

Червь был обнаружен за несколько часов до того, как он был успешно удален, и на основе записанных данных (из-за первоначального намерения червя для исследовательских целей) червь смог заразить незараженные профили после того, как они были принудительно дезинфицированы разработчиками Justin.tv . После исправления уязвимости червь был продезинфицирован еще раз, и его можно было легко удалить. Однако это показывает способность червя адаптироваться и распространяться даже после контратаки.

К другим частным факторам, на которые указывают графики и данные, опубликованные злоумышленниками, относятся социальная активность и отсутствие новых незараженных пользователей в течение определенного периода времени.

Червь Orkut "Bom Sabado"

Социальная сеть Orkut также была поражена червем XSS. Зараженные пользователи получают записку со словами «Bom Sabado» (португальский, "Счастливой субботы"). Google пока не комментирует ситуацию.[нужна цитата ]

Рекомендации

  1. ^ Олкорн, Уэйд (25 сентября 2005 г.). "Вирус межсайтового скриптинга". BindShell.net. Архивировано из оригинал 23 августа 2014 г.
  2. ^ Фагани, Мохаммад Реза; Саиди, Хоссейн (2009). "XSS-черви социальных сетей". 2009 Международная конференция по вычислительной науке и технике. Дои:10.1109 / CSE.2009.424.
  3. ^ Беренд-Ян Вевер. "Ошибка XSS на странице входа в Hotmail".
  4. ^ Манн, Джастин (31 января 2007). "Myspace говорит о приговоре Сами Камкара". Techspot.com.

Смотрите также