4年一屆世界杯正在如火如荼的進行,等了4年,誰都不想輕易的放過這一個月的狂歡,除了買票去現場感受足球氛圍以外,大部分人都會去預測每場比賽的結果,毋庸置疑各種博彩和競猜app是世界杯月裡面安裝量增長最快的應用。
今天我們不讨論世界杯誰能奪冠,也不讨論博彩和比賽競猜的玩法,我們先從廣告開始看下相關的黑灰産如何突破重重阻礙把廣告打到你臉上,再談談一些看似低危的漏洞如果用在黑灰産中會帶來多少危害。讨論的内容有點敏感,還是那句話,技術是把雙刃劍,希望大家看到的是兩面,但是隻用一面。文章中大部分的漏洞本身就是在修複範圍内的漏洞,隻不過站在不同的角度能看到不同的利用價值或者說危害程度,有些漏洞對公司無害或者沒什麼危害不代表他的社會危害低,就像電信詐騙一樣,公司洩露的是資料,但從單個case來說排除部分大公司的賠償,基本都是需要使用者自己買單。
流量是所有網際網路公司最看重的,隻要有流量就能變現。流量這塊中很重要的就是三方搜尋引擎的流量來源,也就是我們常用的谷歌、百度、神馬等,另外就是基于搜尋引擎的各種黑、白帽seo技術。我們知道搜尋引擎抓取網頁以後在建立排名的時候主要以title關鍵詞建索引然後根據一定的算法建立排名,排名算法中特别重要的是看網站的權重,如果是權重高的網站關鍵詞也相應排名比較靠前。是以從這個角度來看主要有兩個條件,一個是title可控,一個是網站本身的權重,是以基于這兩個條件我們來看下黑灰産是怎麼玩轉一些雞肋漏洞的。
場景一、搜尋 内部搜尋是現在各網站或者服務的标配,很多搜尋結果的聚合頁面都會把我們搜尋的關鍵詞放到title當中,相當于使用者可自定義title,然後把整個搜尋連結想辦法讓搜尋引擎收錄,因為網站本身的權重較高,是以這種的連結有時能獲得較好的排名。這是利用這點黑灰産就可以免費打廣告了,而且這種方法成本非常低,通過一個腳本可以生成無數這種網頁,如下列舉一些截圖:
基于搜尋的場景搜尋引擎很好封堵,搜尋引擎應該也會逐漸識别,處理規則可以類似反射型xss,當url中的關鍵字在title中出現就不收錄,是以以後估計會越來越少越來越難,但是基于個人首頁的場景應該會長期存在,需要做内容關鍵字識别及時封堵。
如下圖是1688的個人首頁:
業務中經常存在檔案上傳的場景,雖然基本都做了檔案類型驗證,但主要是為了防範黑客的攻擊,一般都是驗證上傳檔案字尾,另外現在伺服器端的agent也都有檔案内容識别,會對常見的webshell特征碼進行識别清除。
但是如果是針對seo推廣場景,可以發現要求就降低很多了。
首先檔案内容上就是一個正常的html頁面的代碼,無任何動态腳本内容,另外也不需要腳本語言的字尾,雖然為了防止xss的原因,html、htm字尾基本也是禁止的,但是搜尋引擎除了有部分靜态資源的字尾會特别對待以外,其他是不區分字尾的,類似于黑名單。是以隻要爬蟲能擷取頁面的源碼,就能建立索引參與排名。
另外像類似Fckeditor、ueditor等富文本編輯器配置不當也都給這類問題創造了條件。
場景四、跳轉和檔案包含(非包含執行) 這種場景在漏洞定級中一般是s2、s3級别的漏洞,但是同理檔案包含的時候頁面的源碼也是被包含的檔案的源碼,這樣也滿足了開始說的兩個條件,這裡就不具體舉例了。 場景五、xss的額外價值xss在作為漏洞利用中常被用來偷取cookie、token、源碼等敏感資訊,但是在存在xss點其實還有額外的作用。
參考如下文章:
http://lusongsong.com/reed/9476.htmlhttps://www.atatech.org/articles/111561#0 結束語
黑灰産往往會把漏洞用在價值最高的地方做變現,不同的場景和利用就會産生不同價值,有價值就會有人研究有人利用,這是一個長期對抗的過程。當然黑灰産的推廣和利用手段還有很多,這裡隻是介紹一些門檻比較低的黑灰産的手法,更多的進階手法會做的更隐蔽,就算被發現了也模仿不了。但是無論什麼手法,從結果上看都是想要一個好的排名擷取更多的流量,是以從最終的表象來看可以發現更多的情報線索,這個留個各位自己挖掘了。
團隊介紹
阿裡安全-歸零實驗室成立于17.11月,實驗室與寄生在阿裡生态經濟體的黑灰産直面技術對抗,以打造一流的以情報驅動的黑灰産情報體系能力,看清黑灰産風險,領先黑灰産,演練風險為願景,重點解決業務安全和資料安全領域中黑灰産風險事件背後的産業鍊和手法。
---
本文由阿裡巴巴集團安全部的進階安全專家 彙豐 撰寫!