當(dāng)我們?cè)谠L問(wèn)一些網(wǎng)站是會(huì)彈出一些提示，有時(shí)候QQ管家、金山毒霸是經(jīng)常彈出訪問(wèn)提示，不注意就會(huì)扣掉很多錢，那么真正的惡意網(wǎng)站又是怎么一回事，又有多少人徹底的明白呢？一起來(lái)看看吧。

| 前言

惡意網(wǎng)站在大家平時(shí)網(wǎng)絡(luò)生活應(yīng)該不少接觸，比如，QQ聊天窗口的安全提示，百度搜索結(jié)果的攔截提示，或者是QQ管家、金山毒霸等在你訪問(wèn)某些網(wǎng)站時(shí)彈出的訪問(wèn)提示；再或者某某訪問(wèn)什么網(wǎng)站，被騙了多少錢等等......細(xì)數(shù)這些，我想大家都不陌生，但是具體惡意網(wǎng)站又是怎么一回事，我想估計(jì)真正了解的人沒(méi)多少。

前前后后寫(xiě)了幾篇關(guān)于惡意網(wǎng)站的文章，整理一下讓大家更加的了解惡意網(wǎng)站。

| 什么是惡意網(wǎng)站？

什么是惡意網(wǎng)站？這是一個(gè)比較泛的概念，在我們看來(lái)，會(huì)對(duì)網(wǎng)民上網(wǎng)造成危害的網(wǎng)站，應(yīng)該都屬于這個(gè)定義里面。比較常見(jiàn)的有釣魚(yú)網(wǎng)站、假冒仿冒網(wǎng)站等等。舉個(gè)例子，有一些站點(diǎn)仿冒中國(guó)好聲音官網(wǎng)進(jìn)行欺詐，給一些人發(fā)短信說(shuō)中獎(jiǎng)了，登陸某某網(wǎng)址進(jìn)行領(lǐng)獎(jiǎng)，而實(shí)際是某某網(wǎng)站訪問(wèn)不是真正的中國(guó)好聲音的官網(wǎng)，是假冒的，會(huì)誘導(dǎo)用戶進(jìn)行一些如銀行轉(zhuǎn)帳等造成用戶利益損失的行為，這其中某某網(wǎng)址就是一個(gè)經(jīng)典的惡意網(wǎng)站。再比如仿冒QQ安全中心、QQ空間等頁(yè)面的，進(jìn)行QQ盜取的網(wǎng)站都屬于惡意網(wǎng)站。

還有就是比如網(wǎng)民訪問(wèn)了，會(huì)中木馬病毒的掛馬網(wǎng)站同樣是一種惡意網(wǎng)站。

| 惡意網(wǎng)站分類

在我看來(lái)，惡意網(wǎng)站總的可以分為這幾類（以下僅來(lái)自個(gè)人的分類與定義）：

1、盜號(hào)釣魚(yú)

2、仿冒欺詐

3、黑客入侵

4、博彩賭球

5、淫穢色情

6、非法交易與銷售

7、病毒木馬

8、違法違規(guī)

首先解釋大家最關(guān)心的第五類，淫穢色情，這個(gè)詞什么意思我就不解釋了。

其實(shí)淫穢色情要看大家怎么看了，從法律上講，是不允許的，自然算惡意，但如果大家覺(jué)得瀏覽這樣的網(wǎng)站沒(méi)有什么損失，有這樣的需求，那么就可以不是。不過(guò)一般往往色情網(wǎng)站自身帶有其他惡意行為，比如掛馬等，不過(guò)現(xiàn)在也有一些自標(biāo)榜不含任何惡意代碼的“真色情”網(wǎng)站，是否如此就不得而知，筆者還是建議大家平時(shí)上網(wǎng)做好安全措施，比如安裝個(gè)noscript插件，就能阻止惡意js代碼的執(zhí)行了。

其次是盜號(hào)釣魚(yú)與仿冒欺詐。盜號(hào)釣魚(yú)指的是通過(guò)偽裝頁(yè)面等方式獲取帳號(hào)密碼等私人信息；而仿冒欺詐，有仿冒也有欺詐，顧名思義，通過(guò)仿造頁(yè)面進(jìn)行欺詐。其實(shí)這兩個(gè)類別是有交叉的，往往盜號(hào)釣魚(yú)的網(wǎng)站，通過(guò)就通過(guò)仿冒假冒的形式來(lái)進(jìn)行，而這其實(shí)如果一定要算，也可以算做一種欺詐。但兩者有個(gè)區(qū)別在于盜號(hào)釣魚(yú)在于竊取帳號(hào)等信息，而仿冒欺詐，更在于欺詐。如下：

你覺(jué)得下圖哪個(gè)是真正的官網(wǎng)呢？

第一張：

第二張：

第二張才是真正的官網(wǎng)，俏十歲的域名是http://www.qiaoshisui.com/。第一張圖是不是可以以假亂真了？而這里的仿冒就不是為了盜取帳號(hào)信息，因?yàn)槟銜?huì)發(fā)現(xiàn)登陸注冊(cè)根本是假的。

黑客入侵，就不解釋了，具體下面單獨(dú)講。

博彩賭球，大家一樣可以看下文，referer作弊跟ua作弊中搜索引擎真正看到的頁(yè)面其實(shí)都是博彩頁(yè)面。

非法交易與銷售，這個(gè)按照字面理解也很簡(jiǎn)單，比如代辦信用卡、辦假證、刀具銷售等這些都屬于。

病毒木馬，網(wǎng)頁(yè)掛馬就屬于這一類，這個(gè)大家應(yīng)該不陌生，在幾年前是非常流行，而現(xiàn)在已經(jīng)是慢慢沒(méi)落了，這代表的是一個(gè)底下產(chǎn)業(yè)的沒(méi)落。

違法違規(guī)，估計(jì)有小伙伴又有話說(shuō)了，前面幾類都是違法違規(guī)啊，難道你說(shuō)木馬病毒不違法嗎？色情合法嗎？我只能說(shuō)，小伙伴，你著道了。其實(shí)這個(gè)類更像是對(duì)不屬于以上幾個(gè)類別的惡意網(wǎng)站的補(bǔ)充，比如說(shuō)反動(dòng)網(wǎng)站等就屬于這類。

這就是我對(duì)惡意網(wǎng)站的分類，僅僅是個(gè)人根據(jù)長(zhǎng)期處理惡意網(wǎng)站數(shù)據(jù)的經(jīng)驗(yàn)的看法。

| 網(wǎng)站被黑

咱們平時(shí)最經(jīng)常也最了解的被黑，應(yīng)該就屬于那種替換掉首頁(yè)或者在網(wǎng)站目錄上傳個(gè)黑頁(yè)，這種很常見(jiàn)，國(guó)內(nèi)外均有這樣黑頁(yè)提交統(tǒng)計(jì)站點(diǎn)，如國(guó)內(nèi)的被黑站點(diǎn)統(tǒng)計(jì)。

這種被黑不難理解，滲透網(wǎng)站，通過(guò)各種方式上傳webshell，然后上傳黑頁(yè)就算是了，一般這種被黑的目的就是出于純粹的黑站，有報(bào)復(fù)、宣傳一些東西之類的。這次的馬航事件，馬航官方網(wǎng)站旗下edm分站就被一名為4z1的馬來(lái)西亞黑客所黑，黑客留言“Im From Malaysia But I Dare Not Admit”影射馬來(lái)西亞政府刻意隱瞞真相，不敢承認(rèn)事實(shí)。下圖就是一個(gè)常見(jiàn)的黑頁(yè)。

在普通被黑之外，有三種情況，三種情況的目的是差不多的，seo。為什么這么說(shuō)呢？具體如何？不告訴你。開(kāi)個(gè)玩笑，看下文。

第一種，暗鏈這種被黑一般僅存在于首頁(yè)。

暗鏈不會(huì)影響頁(yè)面的顯示，不會(huì)破壞頁(yè)面格局，更不會(huì)進(jìn)行跳轉(zhuǎn)，黑客通過(guò)設(shè)置使鏈接在頁(yè)面不可見(jiàn)，但實(shí)際又存在，可以通過(guò)源碼查看。通常方式有如設(shè)置css，使div等不可見(jiàn)、使div的邊距為負(fù)數(shù)，反正只要在頁(yè)面上看不到就行。一般位置處于源碼的底部或者頂部。

黑客為什么這樣做，咱們先不說(shuō)，后面一起來(lái)

第二種，UA作弊

我們先來(lái)看兩張圖

同一個(gè)網(wǎng)址，兩種界面

這個(gè)絕對(duì)不是筆者閑著沒(méi)事干用F12去修改了代碼，而是筆者對(duì)火狐的一個(gè)設(shè)置改變了下，真相在下圖

其實(shí)有些讀者在看到標(biāo)題應(yīng)該就知道情況了，就是UA起的作用，把UA改成搜索引擎爬蟲(chóng)的UA，查看到的就是另一個(gè)頁(yè)面了

具體設(shè)置：general.useragent.override:Googlebot/2.1

第三種，REFERER作弊

同樣先來(lái)看看圖

這其實(shí)訪問(wèn)的是同一個(gè)網(wǎng)址，結(jié)果第二次訪問(wèn)跳轉(zhuǎn)到一個(gè)博彩網(wǎng)站，第一次訪問(wèn)是原頁(yè)面

秘密在這：

因?yàn)榈诙€(gè)頁(yè)面是我通過(guò)搜索引擎搜索直接點(diǎn)擊搜索結(jié)果跳轉(zhuǎn)過(guò)去訪問(wèn)的，因?yàn)閹Я藖?lái)自搜索引擎的referer，頁(yè)面就自動(dòng)跳轉(zhuǎn)了

好，看完了各種被黑，我先來(lái)看看每種的定義：

暗鏈：其實(shí)“暗鏈”就是看不見(jiàn)的網(wǎng)站鏈接，“暗鏈”在網(wǎng)站中的鏈接做的非常隱蔽，短時(shí)間內(nèi)不易被搜索引擎察覺(jué)。它和友情鏈接有相似之處，可以有效地提高PR值。但要注意一點(diǎn)PR值是對(duì)單獨(dú)頁(yè)面，而不是整個(gè)網(wǎng)站。

UA作弊：又叫Cloaked Page。Cloaking中文翻譯：偽裝，隱蔽的。延伸意思：遮蔽或轉(zhuǎn)移別人視線使其看不清真相的手法。

通常是說(shuō)在Web服務(wù)器上使用一定的手段，對(duì)搜索引擎中的巡回機(jī)器人顯示出與普通閱覽者不同內(nèi)容的網(wǎng)頁(yè)。

REFERER作弊：又叫欺騙性重定向(Deceptive redirects)。

指把用戶訪問(wèn)的第一個(gè)頁(yè)面(著陸頁(yè))迅速重定向至一個(gè)內(nèi)容完全不同的頁(yè)面。

做這些又為了什么呢？其實(shí)大部分都是為了SEO。

這些其實(shí)都是SEO作弊，其實(shí)就是黑帽SEO。做SEO的應(yīng)該很了解這些方式。

黑帽SEO的方法很多，我們只談與被黑相關(guān)的。而相關(guān)中，根據(jù)筆者長(zhǎng)期進(jìn)行惡意網(wǎng)站數(shù)據(jù)工作的經(jīng)驗(yàn)，又以這三者最多。實(shí)現(xiàn)的前提同樣是對(duì)網(wǎng)站的滲透。

| 惡意網(wǎng)站檢測(cè)

百度搜索結(jié)果、QQ聊天窗口的那些惡意網(wǎng)站，那么這些惡意網(wǎng)站的提示是怎么做到的？

記得之前似乎做過(guò)介紹？其實(shí)這些一般都是根據(jù)一個(gè)惡意網(wǎng)址庫(kù)進(jìn)行匹配，如果網(wǎng)址在惡意網(wǎng)址庫(kù)里，那么就提示惡意，并顯示對(duì)應(yīng)的惡意類型（如何查詢、如何快速查詢這些我們就不討論了，涉及到一些數(shù)據(jù)庫(kù)優(yōu)化、緩存等等知識(shí)）。

說(shuō)到這里，估計(jì)大家又會(huì)問(wèn)，那么這些網(wǎng)址庫(kù)是哪里來(lái)的？

一般惡意網(wǎng)址的來(lái)源有幾個(gè)：

1、引擎檢測(cè)，就是比如百度搜索每天有一大堆的搜索網(wǎng)址，直接拿來(lái)作為入口url，放到集群去檢測(cè)，然后引擎識(shí)別是否惡意網(wǎng)址，不同引擎標(biāo)注網(wǎng)址惡意類型

2、人工舉報(bào)審核，各種平臺(tái)會(huì)有一大堆網(wǎng)民舉報(bào)的網(wǎng)址，然后通過(guò)人工審核，確認(rèn)惡意情況入庫(kù)到惡意網(wǎng)址數(shù)據(jù)庫(kù)

3、數(shù)據(jù)交換，不同的惡意網(wǎng)址產(chǎn)生提供商之間為了更好的數(shù)據(jù)準(zhǔn)確性及覆蓋，一般會(huì)做一些數(shù)據(jù)交換，進(jìn)行互補(bǔ)

正常情況下，那些安全廠商的惡意網(wǎng)址就是這樣來(lái)的。

然后我們?cè)賮?lái)看看可能會(huì)出現(xiàn)哪些問(wèn)題：

1、分類識(shí)別不準(zhǔn)

2、誤報(bào)

3、漏報(bào)

這幾個(gè)情況基于以上三種數(shù)據(jù)來(lái)源來(lái)說(shuō)：

1、人工審核就不說(shuō)了，因?yàn)槭侨斯た?，不排除存在誤報(bào)和分類不準(zhǔn)情況，但一般基本是為0；

2、引擎檢測(cè)，這個(gè)沒(méi)什么好說(shuō)的，每家開(kāi)發(fā)的引擎不一樣，算法不一樣，資源不一樣，識(shí)別情況都是不同的，比如騰訊搞自家仿騰訊產(chǎn)品的仿冒網(wǎng)站就識(shí)別的比較準(zhǔn)，淘寶搞識(shí)別阿里系網(wǎng)站也是比較準(zhǔn)；還有就是專精，比如金山，專精釣魚(yú)，因?yàn)樗麄冇匈r付服務(wù)，但是也避免不了誤報(bào)；

3、廠商數(shù)據(jù)交換，這取決于廠商的能力，包含他們的引擎識(shí)別準(zhǔn)確度等，一般會(huì)先做質(zhì)檢，然后才會(huì)根據(jù)情況使用。

再單獨(dú)說(shuō)下分類不準(zhǔn)的情況，就釣魚(yú)和仿冒來(lái)說(shuō)，大部分的網(wǎng)站為了釣魚(yú)會(huì)先仿冒所以就這種情況首先就不好歸類；然后再談?wù)劶?xì)節(jié)問(wèn)題，一般來(lái)說(shuō)，引擎是無(wú)法做細(xì)化到具體的技術(shù)細(xì)節(jié)的，一般會(huì)給出個(gè)出問(wèn)題的url，因?yàn)閷?shí)現(xiàn)這種東西沒(méi)必要，等于花那么多的錢去搞一個(gè)可能只是個(gè)別人重視的東西，一般這種技術(shù)細(xì)節(jié)也只有懂技術(shù)的人才會(huì)看，而懂的人一般根據(jù)惡意類型，然后知道根據(jù)url和惡意類型一般就能找出問(wèn)題來(lái)。

關(guān)于惡意網(wǎng)站的實(shí)現(xiàn)，我之前在一次安全沙龍有做過(guò)演講，里面有提到，大家不凡看看我的ppt：http://vdisk.weibo.com/s/AdEqZ

| 惡意網(wǎng)站的一些小規(guī)律

說(shuō)到以上8個(gè)類別，就根據(jù)數(shù)據(jù)量級(jí)來(lái)說(shuō)，應(yīng)該大概是這樣一個(gè)排序：

1、盜號(hào)釣魚(yú)、仿冒欺詐、病毒木馬

2、被黑、博彩賭球、色情

3、非法交易與銷售、違法違規(guī)

欺詐仿冒這些惡意網(wǎng)站取代了以前的病毒木馬成為頭號(hào)惡意網(wǎng)站分類。

就分布規(guī)律來(lái)說(shuō)，經(jīng)濟(jì)越發(fā)展的地區(qū)，惡意網(wǎng)站的數(shù)量越多，而根據(jù)網(wǎng)站類型及域名后綴來(lái)看，被黑主要就是gov.cn的政府及新聞網(wǎng)站，而博彩中經(jīng)常見(jiàn)到純數(shù)字的.com域名，盜號(hào)釣魚(yú)及仿冒欺詐，因?yàn)橛胁恢淮嬖陧?yè)面仿冒假冒的，域名也有，所以域名相對(duì)沒(méi)什么規(guī)律，其他幾個(gè)類別也是。不過(guò)總的來(lái)說(shuō)，所有域名后綴，.com的占比是最大的。

| 惡意網(wǎng)站與數(shù)據(jù)廠商

排除國(guó)外廠商不說(shuō)，國(guó)內(nèi)，就筆者知道的而言，有惡意數(shù)據(jù)產(chǎn)出的有：

百度

騰訊

金山

知道創(chuàng)宇

阿里巴巴

360

而安全聯(lián)盟相信大家不陌生，就是聚合了百度、騰訊、金山、知道創(chuàng)宇的惡意網(wǎng)址庫(kù)。

本來(lái)想給大家介紹下每個(gè)廠商的數(shù)據(jù)，不過(guò)因?yàn)樯婕暗焦ぷ?，就不多說(shuō)了，簡(jiǎn)單的說(shuō)下。

各個(gè)廠商的數(shù)據(jù)在數(shù)量級(jí)、準(zhǔn)確率、側(cè)重惡意類型等都不相同，首先可以明確的是因?yàn)樯婕暗阶约覙I(yè)務(wù)，像阿里在對(duì)仿冒淘寶、支付寶等惡意網(wǎng)站的檢測(cè)，騰訊對(duì)仿冒QQ等業(yè)務(wù)的惡意網(wǎng)站的檢測(cè)都相對(duì)比其他家高。在此之外，因?yàn)榻鹕接袀€(gè)網(wǎng)購(gòu)賠付服務(wù)，所以金山在針對(duì)盜號(hào)釣魚(yú)與仿冒欺詐的惡意網(wǎng)站的處理上會(huì)更為專注，而知道創(chuàng)宇則擁有其他家都沒(méi)有的暗鏈的檢測(cè)能力，百度對(duì)于被黑中的SEO作弊的惡意網(wǎng)站的檢測(cè)則更多點(diǎn)。至于哪家的準(zhǔn)確率高，就不多做點(diǎn)評(píng)了。

每個(gè)廠商的的惡意網(wǎng)址庫(kù)都不相同，也有自己獨(dú)有擅長(zhǎng)的惡意網(wǎng)站類型的檢測(cè)能力。

而這些數(shù)據(jù)都在哪些地方使用呢？其實(shí)大家平常應(yīng)該經(jīng)常有接觸。比如百度搜索結(jié)果的安全攔截、QQ聊天窗口、QQ電腦管家、金山毒霸、百度殺毒等對(duì)惡意網(wǎng)站的攔截，還有騰訊微博、各種瀏覽器上對(duì)惡意網(wǎng)站的攔截，均是采用了云端查詢惡意網(wǎng)址庫(kù)的一種模式，匹配云端的庫(kù)，如果查詢到是惡意的，就攔截。

例子：一個(gè)簡(jiǎn)單的釣魚(yú)

一張圖片。

說(shuō)實(shí)在的，我真心喜歡這種發(fā)釣魚(yú)鏈接給我的，因?yàn)檫@意味著給我送一個(gè)漏洞，然后又讓我了解到一種釣魚(yú)方式，其實(shí)一個(gè)好的釣魚(yú)，就跟黑客思想一樣，各種猥瑣的思維和利用。不過(guò)對(duì)于這種釣魚(yú)，一般我了解完，直接提交漏洞，舉報(bào)釣魚(yú)URL（好像有點(diǎn)壞，不過(guò)這樣避免不懂的同學(xué)上當(dāng)受騙）。

來(lái)分析下這個(gè)釣魚(yú)，其實(shí)這個(gè)網(wǎng)址一看就知道，雖然百度的網(wǎng)址，但是一看就能看出來(lái)，這是一個(gè)跳轉(zhuǎn)，利用了百度的URL跳轉(zhuǎn)漏洞，明顯是來(lái)送漏洞的嘛......實(shí)際網(wǎng)址就是后面那個(gè)網(wǎng)址，我們來(lái)分析下代碼，直接查看源碼：

這是一個(gè)簡(jiǎn)單的跳轉(zhuǎn)，沒(méi)其他代碼了，提供meta的設(shè)置進(jìn)行跳轉(zhuǎn)，然后我們繼續(xù)跟蹤，這次沒(méi)有跳轉(zhuǎn)了，是一個(gè)視頻聊天室網(wǎng)站，我們來(lái)看看吧：

來(lái)看看真實(shí)的情況吧：

看完大家懂了吧？其實(shí)這還是一個(gè)很簡(jiǎn)單的釣魚(yú)，沒(méi)什么可說(shuō)的，主要的目的在于讓大家點(diǎn)擊然后會(huì)下載一個(gè)惡意軟件，然后接下來(lái)你就懂了。反正我就喜歡這種送漏洞的釣魚(yú)，哈哈，像那種很多QQ空間登陸的釣魚(yú)也是類似的，有的甚至網(wǎng)址都沒(méi)構(gòu)造，壓根就是一個(gè)完全不知道什么的網(wǎng)址。其實(shí)碰到這種情況，大家不妨查看下源碼來(lái)看看。

例子：一個(gè)QQ空間的仿冒盜號(hào)網(wǎng)站的分析

知乎上有某位同學(xué)發(fā)了這樣一個(gè)盜號(hào)鏈接，做了簡(jiǎn)單的分析：

查看源碼：

然后把其中的js美化，部分代碼如下：（完整見(jiàn)作者知乎）

其中有個(gè)值：

aHR0cDovL2hvbWUuY2hkc2dsLmNvbS8yLnBocC8/ZD0=base64解碼后是http://home.chdsgl.com/2.php/?d=

簡(jiǎn)單解釋就是在當(dāng)前頁(yè)面嵌入了一個(gè)iframe，src是http://home.chdsgl.com/2.php/?d=1228

問(wèn)題就出在這個(gè)鏈接。

然后里面又嵌入了一個(gè)頁(yè)面http://xmakx2al.tk/tool/q.asp?spmui=1228

然后又是一個(gè)頁(yè)面http://xmakx2al.tk/tool/c1/

里面又iframe個(gè)頁(yè)面，http://xmakx2al.tk/tool/c1/t4.html，這個(gè)其實(shí)是一個(gè)圖片背景的東西。

多層嵌套下來(lái)，其實(shí)最終就是一個(gè)假的騰訊教育的頁(yè)面，就是盜號(hào)用，這種方式很常見(jiàn)

例子：高級(jí)釣魚(yú)，利用拍拍網(wǎng)的XSS漏洞

原文地址：[警惕]高級(jí)釣魚(yú)攻擊來(lái)了：拍拍XSS攻擊

昨晚我們團(tuán)隊(duì)捕獲到一起高級(jí)釣魚(yú)攻擊，緊急響應(yīng)后，對(duì)背后的團(tuán)隊(duì)技術(shù)運(yùn)作能力表示欣賞：終于不是老套的、土得要死的方式。這次還真喚起我心中的那個(gè)魔鬼，有趣，這樣才有趣！:)

等黑產(chǎn)（非其他團(tuán)隊(duì)）用這樣的方式已經(jīng)等了很久很久，雖然還不夠高明，但已經(jīng)有進(jìn)步了！根據(jù)偉大的統(tǒng)計(jì)學(xué)，互聯(lián)網(wǎng)上鋪天蓋地的攻擊，能正巧被我們發(fā)現(xiàn)的概率不高，這次既然發(fā)現(xiàn)了，可以推出利用這一攻擊手法估計(jì)早幾個(gè)月已經(jīng)在實(shí)施，而準(zhǔn)備好這套計(jì)劃，估計(jì)時(shí)間上會(huì)更久。

開(kāi)始進(jìn)入重點(diǎn)：

在拍拍上和賣家交流后，賣家發(fā)來(lái)這條消息：

親，親反映的售后服務(wù)問(wèn)題，我們給親退款58元作為優(yōu)惠，親填寫(xiě)下退款信息：http://mcs.paipai.com/RWsiZVpoe（真實(shí)的拍拍網(wǎng)址哦）

亮點(diǎn)1

被誘騙訪問(wèn)上面這個(gè)鏈接后，會(huì)302跳轉(zhuǎn)到這個(gè)網(wǎng)址：

http://shop1.paipai.com/cgi-bin/shopmsg/showshopmsg?shopId=2622893717&page=1&iPageSize=1&t=0.8497088223518993&g_tk=2019233269&g_ty=ls&PTAG=40012.5.9

這里面是一個(gè)存儲(chǔ)型XSS，這個(gè)XSS不錯(cuò)在于，攻擊者通過(guò)修改自己QQ昵稱后，昵稱被拍拍讀取并沒(méi)適當(dāng)?shù)倪^(guò)濾就展示出來(lái)了，導(dǎo)致存儲(chǔ)型XSS。如下圖：

上面這個(gè)鏈接的代碼如下：

var msgContent = [false,false,1,false,2351926008: , ,0000000000,2012-11-11,04:58:35,店主回復(fù),000,2012-11-11,04:59:33,false,2684118472:</script> , ,0000000000,2012-11-11,04:57:25,店主回復(fù),00000,2012-11-11,04:59:25,];showLeaveMsg(msgContent, 1);

注意紅色標(biāo)注的位置。

亮點(diǎn)2

上面紅色標(biāo)注的位置，那個(gè)js鏈接是短網(wǎng)址，這個(gè)手法已經(jīng)司空見(jiàn)慣了，短網(wǎng)址利于迷惑，同時(shí)內(nèi)容短，對(duì)于一些數(shù)據(jù)提交限制長(zhǎng)度的功能來(lái)說(shuō)，這是一個(gè)好方法。

亮點(diǎn)3

打開(kāi)這個(gè)短網(wǎng)址，跳轉(zhuǎn)到了如下鏈接：

http://my.tuzihost.com/qq2.js

這個(gè)鏈接里會(huì)生成一個(gè)拍拍真的頁(yè)面，同時(shí)至少執(zhí)行了如下腳本：

這個(gè)腳本很邪惡，就是專門盜取Cookie的。今年315后，認(rèn)識(shí)Cookie的同學(xué)已經(jīng)很多了，拍拍的Cookie比較脆弱，被盜取就意味著身份權(quán)限被盜。

在qq2.js這個(gè)文件里，攻擊者明顯是做了足夠的研究，包括提取關(guān)鍵Cookie字段，通過(guò)代碼里的痕跡與風(fēng)格，估計(jì)可以推出是誰(shuí)寫(xiě)的:)

亮點(diǎn)4

qq2.js所在的http://my.tuzihost.com首頁(yè)做了偽裝，讓人以為是一個(gè)正規(guī)的導(dǎo)航站。

亮點(diǎn)5

http://my.tuzihost.com存在列目錄漏洞，通過(guò)這個(gè)我查看了攻擊者寫(xiě)的其他代碼，可以看出用心了……

通過(guò)周邊的一些信息推斷：

攻擊者收集到的Cookie應(yīng)該是存入了MySQL數(shù)據(jù)庫(kù)；應(yīng)該有個(gè)后臺(tái)能顯示這些Cookie信息；有郵件通知功能（也許還用作其他）；攻擊者（或者說(shuō)團(tuán)隊(duì)更合適）不善于隱藏，也許他們分工真的明確，寫(xiě)利用代碼的人不一定參與了攻擊，否則不太可能犯下一些明顯的錯(cuò)誤；

結(jié)束

我們已經(jīng)第一時(shí)間將這個(gè)攻擊反饋給騰訊安全中心，我發(fā)現(xiàn)他們已經(jīng)修復(fù)了漏洞，效率真高。

這次攻擊實(shí)際上還不高級(jí)，不過(guò)非常有效，釣魚(yú)釣的不是密碼，而是關(guān)鍵Cookie，足矣秒殺拍拍了。我曾經(jīng)科普過(guò)《關(guān)于社交網(wǎng)絡(luò)里的高級(jí)釣魚(yú)攻擊》，大家可以查看微信的歷史消息，看看這篇文章。

這次攻擊在黑產(chǎn)中運(yùn)用值得引起業(yè)界的警惕，實(shí)際上過(guò)去幾年，這樣的攻擊我遇見(jiàn)過(guò)幾起，不過(guò)沒(méi)證據(jù)表明是黑產(chǎn)在運(yùn)用，基本都是：just for joke。更多精彩教程請(qǐng)繼續(xù)關(guān)注腳本之家網(wǎng)站！

雷鋒網(wǎng)注：本文由作者授權(quán)發(fā)布雷鋒網(wǎng)，轉(zhuǎn)載請(qǐng)聯(lián)系我們授權(quán)并保留出處和作者，不得刪減內(nèi)容。

最新評(píng)論