余弦:黑客流派中Web攻击的地位

技术 作者:站内编辑 2014-08-29 10:19:14
算是一次轻松科普:) 0 重要铺垫 这个地位和 Web 在整个网络空间所处的地位有关,1995年《乔布斯:遗失的访谈》里乔大爷提到:「未来,互联网与 Web 是一个大趋势。」注意:1995年那时有什么呢?这句话无疑是具备极强预见性的。   如果,我们把网络空间分为三大组成部分(云->管->端)来看的话,现在的云几乎都是基于 Web 的成熟协议来对外提供服务的,比如 HTTP 协议,最流行的传输格式是 JSON,其次如 XML 等。   HTTP 协议的成熟大大促进了端上浏览器(或浏览器内核)的发展,浏览器的发展注定了 Web 的势不可挡,HTML/XML->XHTML->HTML5,这种技术架构完美地把背后高冷的信息以可视化的方式呈现在大家面前。   说这些是想说,端上无论是 PC、Pad 还是手机,只要你联网,Web 的方式或技术是无处不在的。既然 Web 这么火爆,必定也会成为黑客入侵的重要关卡,必然会形成黑客攻防领域极其重要的分支。   说说历史小八卦   10来年前,Web 还不是那样火爆时(启蒙期),玩 Web 攻击的(如:SQL 注入、XSS、CSRF)的黑客群体被系统/网络黑客嘲笑为「脚本黑客」,系统/网络黑客才被认为是真正的黑客,分分钟 ROOT 进服务器,手握几打系统/网络 0DAY,简直就是所向披靡了,而搞个 Web 攻击,比如 SQL 注入吧,还得拿下数据库权限,然后提权,或者拿下 Web 权限再提权,然后要拿其他类型的服务器还得内网来内网去,这又不得不回到了系统/网络。   因为 Web 几乎都是脚本语言组成的,所以搞 Web 攻击的就被称为「脚本黑客」了。   之后 Web 脱离启蒙期,进入青年期时,且系统/网络漏洞越来越稀有的时候,SQL 注入开始所向披靡了,但凡黑个网站十有八九是 SQL 注入,之后文件上传、命令执行、逻辑漏洞等手法开始形成主流,「脚本黑客」终于扬眉吐气了,可 XSS/CSRF 这类攻击却还登不上台面,以至于好像是07还是08年的黑帽大会上,Nmap 的作者说:「XSS 是一门很娘的技术……」要是别人敢这样说早被黑出翔,Nmap 可是玩网络攻击的黑客们必备利器啊,其作者鼎鼎大名,说句话哪怕不那么对,也不会有谁敢为难。   当然,这句话还是得罪了很多人,这些人是「脚本黑客」里的一个强势分支,圈内都称为「猥琐流」,为什么是猥琐流呢?因为玩 XSS/CSRF 这类攻击,是需要很深社工造诣的,技巧是极其猥琐的,这是一种被动攻击,做好陷阱,等着敌人上钩,敌人死都不知道自己怎么就死的,意识到自己死掉的那一刻他可能会大声呼喊:「卧槽,打仗前不应该击鼓三声通知声吗?居然在我军茅坑前做了个大陷阱……」   「猥琐流」出现的时候,此时 Web 进入了 Web2.0 时期。   这个时期以 MySpace 这种社交网络的出现为代表,为大家熟知是大概04年,之后国内开始出现校内网(现人人网)、饭否(中国第一代微博)、百度空间(当时圈内很多牛人都在这上面开了博客,现在不行了),就连很多邮箱都开始出现更深的社交属性……   社交属性是 Web2.0 的典型特征,里面的内容贡献由用户驱动,这个就有别于传统的 Web(内容由编辑单方面贡献,用户顶多评论评论)。   同时 Web2.0 的流行也得益于 Web 前端如 AJAX/DHTML 等技术模式的牛逼。   05年11月4号,凌晨,一个叫 Samy 的黑客放出了世界上第一只 XSS 蠕虫:   短短5小时后,感染了一百多万个用户,并在每个用户的个人签名档中添加了一段文字「but most of all, samy is my hero」。该蠕虫可以说是 XSS 蠕虫的鼻祖。 和曾经基于系统/网络的冲击波蠕虫让全球人们都震撼的那样,Samy 扔出的这个蠕虫,就像一枚核弹在 Web2.0 世界爆发了,MySpace 根本不知道这是什么蠕虫,它就像上帝一样,突然就出现了,Web2.0 世界的人们毫无征兆,惊魂失措时,MySpace 关闭了服务……   之后,Samy 意识到自己成为上帝它爸时,害怕得很,后来被抓了,前些年出来了……   这次事件,是第一次让世界知道 XSS 的威力,之后无数次的高级入侵(APT)都用到了 XSS/CSRF 技术,Google 是全球最快组建一个全能安全团队去重视 XSS/CSRF 漏洞的,因为 Google 这个安全团队里就好些「猥琐流」。   举个场景   这样看来,Web 攻击在整个网络攻击体系里的地位是非常之高的,从早期是被嘲笑到之后的高地位,这是一个发展过程,对于一个黑客来说不管他用什么手法,能黑掉目标就是成功,这个过程和场景关系非常之大,我举例个场景瞬间能明了:   场景:拿到目标 QQ 邮箱账号权限   大家看这个场景,QQ 邮箱算是国内最安全的了吧?   系统/网络黑客是这样做的:直接远程服务器入侵,拿 0DAY 打进去(这 0DAY 黑市价格至少100w吧?),进去之后要面对的可能是很复杂的内网环境,又用掉几个 0DAY/1DAY 后,总算进入用户核心数据库了,坑爹地发现数据库的用户密码是高度加盐的……拿到加盐的密码后,准备个 GPU 阵列开始破啊破……一个任务搞了1个月还不一定有结果,可能还会因此而弄丢几个 0DAY,成本太高了!   轮到「脚本黑客」出场了,SQL 注入、文件上传、命令执行等各种大招都使出了,假设吧,假设勉强搞定了 Web 服务的权限,之后面临的是数据库相关的数据能否拿到,假设可以吧,密码拿到后发现也是高度加盐的……继续 GPU 阵列去吧……也许请上比特币挖坑机集群都得不偿失。   这时「猥琐流」出场,一个 XSS 0DAY(黑色价格~=5000?)+一封伪造的社工邮件发过去,坐等目标用户点开上钩…… 大家看这个场景,哪种黑客更厉害?其实没什么更厉害的黑客,只有更适合的招数,这个场景下一个 XSS 轻轻松松的事。   最后,我说下:一次漂亮的渗透过程,是多种手法结合的,没什么手法是终极目标,只有搞定目标才是终极目标!   我是「猥琐流」。 余弦@知道创宇

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接
百度热搜榜
排名 热点 搜索指数