4年一届世界杯正在如火如荼的进行,等了4年,谁都不想轻易的放过这一个月的狂欢,除了买票去现场感受足球氛围以外,大部分人都会去预测每场比赛的结果,毋庸置疑各种博彩和竞猜app是世界杯月里面安装量增长最快的应用。
今天我们不讨论世界杯谁能夺冠,也不讨论博彩和比赛竞猜的玩法,我们先从广告开始看下相关的黑灰产如何突破重重阻碍把广告打到你脸上,再谈谈一些看似低危的漏洞如果用在黑灰产中会带来多少危害。讨论的内容有点敏感,还是那句话,技术是把双刃剑,希望大家看到的是两面,但是只用一面。文章中大部分的漏洞本身就是在修复范围内的漏洞,只不过站在不同的角度能看到不同的利用价值或者说危害程度,有些漏洞对公司无害或者没什么危害不代表他的社会危害低,就像电信诈骗一样,公司泄露的是数据,但从单个case来说排除部分大公司的赔偿,基本都是需要用户自己买单。
流量是所有互联网公司最看重的,只要有流量就能变现。流量这块中很重要的就是三方搜索引擎的流量来源,也就是我们常用的谷歌、百度、神马等,另外就是基于搜索引擎的各种黑、白帽seo技术。我们知道搜索引擎抓取网页以后在建立排名的时候主要以title关键词建索引然后根据一定的算法建立排名,排名算法中特别重要的是看网站的权重,如果是权重高的网站关键词也相应排名比较靠前。所以从这个角度来看主要有两个条件,一个是title可控,一个是网站本身的权重,所以基于这两个条件我们来看下黑灰产是怎么玩转一些鸡肋漏洞的。
场景一、搜索 内部搜索是现在各网站或者服务的标配,很多搜索结果的聚合页面都会把我们搜索的关键词放到title当中,相当于用户可自定义title,然后把整个搜索链接想办法让搜索引擎收录,因为网站本身的权重较高,所以这种的链接有时能获得较好的排名。这是利用这点黑灰产就可以免费打广告了,而且这种方法成本非常低,通过一个脚本可以生成无数这种网页,如下列举一些截图: 场景二、个人主页基于搜索的场景搜索引擎很好封堵,搜索引擎应该也会逐渐识别,处理规则可以类似反射型xss,当url中的关键字在title中出现就不收录,所以以后估计会越来越少越来越难,但是基于个人主页的场景应该会长期存在,需要做内容关键字识别及时封堵。
如下图是1688的个人主页:
百度自家产品百家号: 场景三、文件上传业务中经常存在文件上传的场景,虽然基本都做了文件类型验证,但主要是为了防范黑客的攻击,一般都是验证上传文件后缀,另外现在服务器端的agent也都有文件内容识别,会对常见的webshell特征码进行识别查杀。
但是如果是针对seo推广场景,可以发现要求就降低很多了。
首先文件内容上就是一个常规的html页面的代码,无任何动态脚本内容,另外也不需要脚本语言的后缀,虽然为了防止xss的原因,html、htm后缀基本也是禁止的,但是搜索引擎除了有部分静态资源的后缀会特别对待以外,其他是不区分后缀的,类似于黑名单。所以只要爬虫能获取页面的源码,就能建立索引参与排名。
另外像类似Fckeditor、ueditor等富文本编辑器配置不当也都给这类问题创造了条件。
场景四、跳转和文件包含(非包含执行) 这种场景在漏洞定级中一般是s2、s3级别的漏洞,但是同理文件包含的时候页面的源码也是被包含的文件的源码,这样也满足了开始说的两个条件,这里就不具体举例了。 场景五、xss的额外价值xss在作为漏洞利用中常被用来偷取cookie、token、源码等敏感信息,但是在存在xss点其实还有额外的作用。
参考如下文章:
http://lusongsong.com/reed/9476.htmlhttps://www.atatech.org/articles/111561#0 结束语
黑灰产往往会把漏洞用在价值最高的地方做变现,不同的场景和利用就会产生不同价值,有价值就会有人研究有人利用,这是一个长期对抗的过程。当然黑灰产的推广和利用手段还有很多,这里只是介绍一些门槛比较低的黑灰产的手法,更多的高级手法会做的更隐蔽,就算被发现了也模仿不了。但是无论什么手法,从结果上看都是想要一个好的排名获取更多的流量,所以从最终的表象来看可以发现更多的情报线索,这个留个各位自己挖掘了。
团队介绍
阿里安全-归零实验室成立于17.11月,实验室与寄生在阿里生态经济体的黑灰产直面技术对抗,以打造一流的以情报驱动的黑灰产情报体系能力,看清黑灰产风险,领先黑灰产,演练风险为愿景,重点解决业务安全和数据安全领域中黑灰产风险事件背后的产业链和手法。
---
本文由阿里巴巴集团安全部的高级安全专家 汇丰 撰写!