搜狐视频爆XSS漏洞变身DDoS怪兽

2014-04-29 16:11:00
shendun
转贴:
51cto.com
670
摘要:近日,DDoS安保公司Incapsula透露全球第27大网站——搜狐网的一个XSS跨站脚本漏洞成为一起大规模僵尸网络DDoS攻击的源头,黑客掌握了搜狐网的一个存储型注入点(这个漏洞现已被修复)。

         2014年4月29日消息  近日,DDoS安保公司Incapsula透露全球第27大网站——搜狐网的一个XSS跨站脚本漏洞成为一起大规模僵尸网络DDoS攻击的源头,黑客掌握了搜狐网的一个存储型注入点(这个漏洞现已被修复)。



        攻击者利用这个漏洞在搜狐视频的用户头像标签中注入JavaScript代码,随后攻击者在大量视频中发布评论,每条评论都附带了恶意代码。当用户访问含有恶意代码的页面时这些代码会执行并触发另外一个代码注入以及一个Ajax脚本DDoS工具,向用户浏览器发出指令,以每秒一次的频率向目标攻击网站发送请求。


        虽然每秒一次的请求看上去频率并不高,但是考虑到搜狐网站的一些热门视频文件很多都长达20-30分钟,而且同时观看的用户数以千计,最终产生的DDoS攻击效果威力惊人,参与调查和防御此次DDoS攻击Incapsula认为这是有史以来规模最大的XSS跨站DDoS攻击(编者按:4月初Incapsula在博客上首次透露此次攻击事件时并未公布存在XSS漏洞的网站名字,信息安全界普遍猜测是Youtube)。


         Incapsula在公司博客中详细介绍了如何通过基于行为识别的安全算法成功拦截这次跨站攻击,以及如何发现攻击源自搜狐网。

    发表评论
    评论通过审核之后才会显示。
    文章分类
    联系我们
    联系人: 杨威
    电话: 15167384118
    传真: 0573-87802365
    Email: 43437761@qq.com
    QQ: 43437761
    微信: shenduncn_com
    微博: shenduncn
    地址: 海宁市洛隆路373号海昌商贸中心2幢313室