他們是怎么做的:傳播的方法 · XSS 蠕蟲 & 病毒

# 他們是怎么做的:傳播的方法對于一個病毒或蠕蟲想要成功，它需要一個執行和傳播的方法。電子郵件病毒通常在鼠標點擊后執行，然后通過您的聯系人列表來發送帶有惡意軟件的的郵件進行傳播。網絡蠕蟲利用遠程利用漏洞危害機器和并且通過連接到其他存在漏洞的主機進行傳播。除傳播之外，蠕蟲病毒還是高度多樣化，包括創造 DDoS 僵尸網絡，垃圾郵件僵尸，或遠程鍵盤監控的能力。XSS 蠕蟲與其他形式的惡意軟件相似，但以自己獨特的方式執行和傳播。使用一個網站來存放惡意代碼，XSS 蠕蟲和病毒通過控制 Web 瀏覽器，使得它復制惡意軟件到網絡上的其他地方去感染別人來進行傳播。例如，一個含有惡意軟件的博客評論，可以使用訪問者的瀏覽器發布額外的感染性的博客評論。XSS 蠕蟲病毒可能會使得瀏覽器進行發送電子郵件，轉賬，刪除/修改數據，入侵其他網站，下載非法內容，以及許多其他形式的惡意活動。用最簡單的方式去理解，就是如果沒有適當的防御，在網站上的任何功能都可以在未經用戶許可的情況下運行。在最后一節中，我們將重點放在 XSS 漏洞本身，以及用戶可以怎么樣被利用。現在，我們來看 XSS 惡意軟件是如何可以進行遠程通信。XSS 漏洞利用代碼，通常是 HTML / JavaScript，使用三種方式使得瀏覽器發送遠程 HTTP 請求的瀏覽器：嵌入式的 HTML 標簽，JavaScript DOM 的對象，XMLHTTPRequest（XHR）。另外，請記住，如果你碰巧登錄到遠程網站，您的瀏覽器是被迫作出的身份驗證的請求的。關于 XSS 惡意軟件的傳播方法與傳統互聯網病毒的明顯差異將會進行簡要說明。 ## 嵌入式 HTML 標簽一些 HTML 標簽具有在頁面加載時會自動發起 Web 瀏覽器的 HTTP 請求的屬性。有一個例子是 IMG（圖像）的 SRC 屬性。SRC 屬性用于指定在 Web 頁面中顯示的圖像文件的 URL 地址。當你的瀏覽器載入帶有 IMG 標簽的網頁，圖像會自動被請求，并在瀏覽器中顯示。但是，SRC 屬性也可以被用于任何 Web 服務器的其他 URL，不僅僅是包含圖像的。例如，如果我們進行了谷歌搜索“WhiteHat Security”我們最終得到了下面的 URL： ``` http://www.google.com/search?hl=en&q=whitehat+security&btnG=Google+Search ``` 這個 URL 可以很容易地取代 IMG 內的 SRC 屬性的值，從而迫使您的 Web 瀏覽器中執行相同的谷歌搜索。 ``` <img src=”http://www.google.com/search?hl=en&q=whitehat+security&btnG=Google+Search”> ``` 顯然使得 Web 瀏覽器發送一個谷歌搜索請求是沒有什么危害性的。然而，URL 構建的同樣的過程可以用來使得 Web 瀏覽器自動進行銀行賬戶資金的匯款，發表煽動性言論，甚至入侵網站。這一點可以說明，這是一個迫使一個 Web 瀏覽器連接到其他網站，使的 XSS 蠕蟲病毒傳播的機制。額外的源碼例子可見“嵌入式 HTML 標簽”的附錄部分。 ## JavaScript 和文檔對象模型 JavaScript 被用于給網站訪問者一個豐富的、交互式的體驗。這些網頁更接近于一個軟件應用程序，而不是一個靜態的 HTML 文檔。我們常會看到 JavaScript 被用于進行圖像的翻轉，動態表單輸入檢查，彈出對話框，下拉菜單，拖動和拖放等。JavaScript 有接近完全的對網站上的每一個對象，包括圖像，cookies，窗口，框架和文本內容的訪問。這些對象中的每一個都是文檔對象模型（DOM）的一部分。 DOM 提供了一系列 JavaScript 讀取和操作的應用程序編程接口（API）。類似嵌入式 HTML 標簽的功能，JavaScript 可以操縱 DOM 對象自動發起 Web 瀏覽器的 HTTP 請求。圖像和窗口的源 URL 可以被重新指定為其他 URL 的。在上一節中，我們可以使用 JavaScript 來改變圖像的 DOM 對象 SRC 進行谷歌搜索“WhiteHat Security”。 ``` img[0].src = http://www.google.com/search?hl=en&q=whitehat+security&btnG=Google+Search; ``` 正如上一節中，迫使 Web 瀏覽器連接到其他網站發送一個谷歌搜索請求是一種無害的例子。但這也說明了 XSS 惡意軟件傳播的另一種方法。額外的源碼例子可見“JavaScript DOM 對象”的附錄部分。 ## XmlHttpRequest (XHR) 2005 年 2 月，Jesse James Garrett 創造一個被稱為“異步 JavaScript 和 XML”或“AJAX”的 Web 編程術語 10。AJAX 定義了使網站內容進行更新而無需重新加載的技術的集合。今天，許多流行的網站，包括 Gmail 和谷歌地圖使用 AJAX 的豐富的功能。中央的底層技術是一種稱為 XMLHttpRequest1（1 XHR）的 JavaScript API，支持 IE 瀏覽器，Mozilla，Firefox，Safari，Camin，Opera 和許多其他瀏覽器的。XHR 提供了一個靈活的機制來發送 HTTP 請求。有 XHR 后，使用 HTML 技巧或操作 DOM 對象是沒有必要的。任意請求可以在后臺發送。源碼例子可見“XmlHTTPRequest”的附錄部分。