国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 網(wǎng)絡(luò)威脅 >

讓告白收集淪為僵尸收集的JavaScript代碼

時(shí)間:2013-08-05 09:53來源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
此刻安然研究人員已證實(shí),黑客可以操縱告白收集成立短暫且難以跟蹤的僵尸收集,只要經(jīng)由過程簡(jiǎn)單的鼠標(biāo)點(diǎn)擊,該僵尸收集便可倡議漫衍式拒盡辦事報(bào)復(fù)打擊。 在本周三于拉斯維加斯進(jìn)行
Tags網(wǎng)絡(luò)威脅(394)僵尸網(wǎng)絡(luò)(102)廣告網(wǎng)絡(luò)(2)javascript(4)  

  此刻安然研究人員已證實(shí),黑客可以操縱告白收集成立短暫且難以跟蹤的僵尸收集,只要經(jīng)由過程簡(jiǎn)單的鼠標(biāo)點(diǎn)擊,該僵尸收集便可倡議漫衍式拒盡辦事報(bào)復(fù)打擊。

  在本周三于拉斯維加斯進(jìn)行的黑帽大年夜會(huì)上,來自白帽安然公司的一組研究人員在大年夜會(huì)上做了講話并向參會(huì)人員揭示了他們的手藝,該手藝經(jīng)由過程利用收集告白的框架頁面調(diào)用一個(gè)JavaScript文件,同時(shí)該JS文件將經(jīng)由過程要求的編制對(duì)網(wǎng)站倡議報(bào)復(fù)打擊。

  白帽安然公司的安然威脅研究中間主管Matt Johansen暗示,該縫隙“迫使JavaScript操縱跨域要求,強(qiáng)行經(jīng)由過程單個(gè)收集瀏覽器或多個(gè)收集瀏覽器的盡可能多的要求對(duì)單個(gè)網(wǎng)站倡議報(bào)復(fù)打擊?!?/P>

  對(duì)此,該公司對(duì)一則即將運(yùn)行于不決名告白收集平臺(tái)上的告白上植進(jìn)了JavaScript代碼,然后在Amazon Web Services辦事器上存放核心JavaScript文件并將該段JavaScript代碼指向這臺(tái)辦事器。而在擺設(shè)告白以后,他們還可以對(duì)存放在辦事器上的核心JavaScript文件進(jìn)行點(diǎn)竄。

  白帽安然公司稱,告白收集的確會(huì)對(duì)代碼進(jìn)行查對(duì),但很明顯他們沒法看到任何歹意代碼,是以不會(huì)禁止這些代碼的運(yùn)行。

  Johansen暗示,“我們的代碼中的確也有一些正常的JavaScript代碼,但假定對(duì)此保持高度警戒,你可能就會(huì)發(fā)現(xiàn)這些代碼看起來有點(diǎn)可疑。當(dāng)然我們其實(shí)不會(huì)踏進(jìn)[告白]色情收集?!?/P>

  這段被植進(jìn)的演示代碼要求瀏覽器封鎖最大年夜限度的收集并發(fā)連接數(shù)(例如Firefox的最大年夜并發(fā)連接數(shù)為6)并經(jīng)由過程HTTP和談拜候網(wǎng)站。別的,他們還揭示了別的一種景象,即經(jīng)由過程利用FTP要求格局,進(jìn)步瀏覽器承諾的并發(fā)連接數(shù),而這將導(dǎo)致呈現(xiàn)一個(gè)收集瀏覽器可能經(jīng)由過程并發(fā)連接對(duì)統(tǒng)一網(wǎng)站倡議大年夜量要求的風(fēng)險(xiǎn)。

  經(jīng)由過程這類編制,研究人員可以擺設(shè)一個(gè)放上彀頁便可主動(dòng)運(yùn)行的告白,并迫使終端用戶瀏覽器按照白帽安然公司的節(jié)制對(duì)一個(gè)網(wǎng)站倡議報(bào)復(fù)打擊。

  “那么這類黑客報(bào)復(fù)打擊編制有甚么好處嗎?為甚么不直接采取傳統(tǒng)的漫衍式拒盡辦事報(bào)復(fù)打擊?”白帽安然公司的安然威脅研究中間總經(jīng)理Matt Johansen如斯問道,而后他對(duì)此答復(fù)說:“因?yàn)檫@類編制不留陳跡、沒法追蹤。一旦JS代碼運(yùn)行,你就底子沒法找到它的蹤跡。這類編制可以說既簡(jiǎn)單又合用。”

  Johansen暗示,他們覺得獨(dú)一可以追蹤這段代碼的編制是返回告白收集平臺(tái)并獲得用于采辦這段歹意告白的諾言卡信息。相信大年夜家都知道,對(duì)黑客而言,經(jīng)由過程不法匿名編制獲得諾言卡信息并不是難事。

  在現(xiàn)場(chǎng)演示中,該公司的研究人員向單個(gè)Apache Web辦事器添加了256個(gè)并發(fā)連接,并在一個(gè)小時(shí)以內(nèi)追蹤到超越100萬次的連接。在成本方面,告白的總成本要低于利用亞馬遜實(shí)例來撐持JavaScript不法運(yùn)行的成本,不外這二者的成本均僅需要幾十美元。

  白帽安然公司暗示,接下來,他們打算與其他廠商展開合作火伴項(xiàng)目,共同擺設(shè)一個(gè)旨在針對(duì)受漫衍式拒盡辦事呵護(hù)的網(wǎng)站的可操縱縫隙。別的他們還將打算測(cè)驗(yàn)測(cè)驗(yàn)利用手藝經(jīng)由過程一個(gè)軟件東西(例如Ravan)來運(yùn)行漫衍式MD5哈希值的破解。此前,該研究團(tuán)隊(duì)已成功破解了谷歌的Chrome把持系統(tǒng)。

  針對(duì)這類經(jīng)由過程告白進(jìn)侵電腦的黑客編制,該公司的研究人員暗示告白反對(duì)可謂解決這一標(biāo)題問題標(biāo)一個(gè)簡(jiǎn)略單純編制。

------分隔線----------------------------

推薦內(nèi)容