世界杯的狂欢下看一些低危漏洞在黑灰产中的高价值

简介: 4年一届世界杯正在如火如荼的进行,等了4年,谁都不想轻易的放过这一个月的狂欢,除了买票去现场感受足球氛围以外,大部分人都会去预测每场比赛的结果,毋庸置疑各种博彩和竞猜app是世界杯月里面安装量增长最快的应用。

4年一届世界杯正在如火如荼的进行,等了4年,谁都不想轻易的放过这一个月的狂欢,除了买票去现场感受足球氛围以外,大部分人都会去预测每场比赛的结果,毋庸置疑各种博彩和竞猜app是世界杯月里面安装量增长最快的应用。

今天我们不讨论世界杯谁能夺冠,也不讨论博彩和比赛竞猜的玩法,我们先从广告开始看下相关的黑灰产如何突破重重阻碍把广告打到你脸上,再谈谈一些看似低危的漏洞如果用在黑灰产中会带来多少危害。讨论的内容有点敏感,还是那句话,技术是把双刃剑,希望大家看到的是两面,但是只用一面。文章中大部分的漏洞本身就是在修复范围内的漏洞,只不过站在不同的角度能看到不同的利用价值或者说危害程度,有些漏洞对公司无害或者没什么危害不代表他的社会危害低,就像电信诈骗一样,公司泄露的是数据,但从单个case来说排除部分大公司的赔偿,基本都是需要用户自己买单。

流量是所有互联网公司最看重的,只要有流量就能变现。流量这块中很重要的就是三方搜索引擎的流量来源,也就是我们常用的谷歌、百度、神马等,另外就是基于搜索引擎的各种黑、白帽seo技术。我们知道搜索引擎抓取网页以后在建立排名的时候主要以title关键词建索引然后根据一定的算法建立排名,排名算法中特别重要的是看网站的权重,如果是权重高的网站关键词也相应排名比较靠前。所以从这个角度来看主要有两个条件,一个是title可控,一个是网站本身的权重,所以基于这两个条件我们来看下黑灰产是怎么玩转一些鸡肋漏洞的。

场景一、搜索

内部搜索是现在各网站或者服务的标配,很多搜索结果的聚合页面都会把我们搜索的关键词放到title当中,相当于用户可自定义title,然后把整个搜索链接想办法让搜索引擎收录,因为网站本身的权重较高,所以这种的链接有时能获得较好的排名。这是利用这点黑灰产就可以免费打广告了,而且这种方法成本非常低,通过一个脚本可以生成无数这种网页,如下列举一些截图:

e61625d3d4402aa73563246d64b8652bfc5c2810

0b5e293f1274e4e47ef43985fc58ac9e3e6f3a03

292dd2256036a1515a8e9cb32a4f5a81460e386f

场景二、个人主页

基于搜索的场景搜索引擎很好封堵,搜索引擎应该也会逐渐识别,处理规则可以类似反射型xss,当url中的关键字在title中出现就不收录,所以以后估计会越来越少越来越难,但是基于个人主页的场景应该会长期存在,需要做内容关键字识别及时封堵。

如下图是1688的个人主页:

1c8663454d64c6500f51934684c787f31c82281b

f91cdce252143ef3d5c0236cb24da112c343c1c0

百度自家产品百家号:

6f1d0980bd6c0a24ffe3c8c916e408f9245a89c7

场景三、文件上传

业务中经常存在文件上传的场景,虽然基本都做了文件类型验证,但主要是为了防范黑客的攻击,一般都是验证上传文件后缀,另外现在服务器端的agent也都有文件内容识别,会对常见的webshell特征码进行识别查杀。

但是如果是针对seo推广场景,可以发现要求就降低很多了。

首先文件内容上就是一个常规的html页面的代码,无任何动态脚本内容,另外也不需要脚本语言的后缀,虽然为了防止xss的原因,html、htm后缀基本也是禁止的,但是搜索引擎除了有部分静态资源的后缀会特别对待以外,其他是不区分后缀的,类似于黑名单。所以只要爬虫能获取页面的源码,就能建立索引参与排名。

另外像类似Fckeditor、ueditor等富文本编辑器配置不当也都给这类问题创造了条件。

场景四、跳转和文件包含(非包含执行)

这种场景在漏洞定级中一般是s2、s3级别的漏洞,但是同理文件包含的时候页面的源码也是被包含的文件的源码,这样也满足了开始说的两个条件,这里就不具体举例了。

场景五、xss的额外价值

xss在作为漏洞利用中常被用来偷取cookie、token、源码等敏感信息,但是在存在xss点其实还有额外的作用。

参考如下文章:http://lusongsong.com/reed/9476.html

结束语

黑灰产往往会把漏洞用在价值最高的地方做变现,不同的场景和利用就会产生不同价值,有价值就会有人研究有人利用,这是一个长期对抗的过程。当然黑灰产的推广和利用手段还有很多,这里只是介绍一些门槛比较低的黑灰产的手法,更多的高级手法会做的更隐蔽,就算被发现了也模仿不了。但是无论什么手法,从结果上看都是想要一个好的排名获取更多的流量,所以从最终的表象来看可以发现更多的情报线索,这个留个各位自己挖掘了。

团队介绍

阿里安全-归零实验室成立于17.11月,实验室与寄生在阿里生态经济体的黑灰产直面技术对抗,以打造一流的以情报驱动的黑灰产情报体系能力,看清黑灰产风险,领先黑灰产,演练风险为愿景,重点解决业务安全和数据安全领域中黑灰产风险事件背后的产业链和手法。

---

本文由阿里巴巴集团安全部的高级安全专家  汇丰 撰写!

相关文章
|
人工智能
淘宝收割Z世代,年轻化的诱惑与挑战
2018年3月,Bilibili登陆美国纳斯达克,上市路演时董事长陈睿为这个社区群体创造了一个新名字——Z世代。70后是X世代,80后是Y世代,B站的群体大都90后,他们是Z世代。
218 0
淘宝收割Z世代,年轻化的诱惑与挑战
|
云安全 运维 监控
案例分享|游戏黑客肆意侵袭,阿里云打响“襁褓”保卫战
公元2021年8月6日《弈剑行》铸剑三年开封在即,正值贼寇ACCN猖狂之风正盛,此时“弈剑元世界“初生,兵力虚弱时遇贼寇进犯,三位铸剑者“宁为玉碎,不为瓦全”,ACCN索财未果,恼而攻城。千日铸剑,溃于一旦,27万“弈剑迷”痛失江湖。
341 0
案例分享|游戏黑客肆意侵袭,阿里云打响“襁褓”保卫战
|
数据采集 云安全 机器学习/深度学习
|
云安全 传感器 机器学习/深度学习
|
机器学习/深度学习 数据采集 运维
技术揭秘 | 互联网广告黑产盛行,如何反作弊?
有人的地方就有江湖。广告作为互联网公司商业变现最为直接快捷的途径,广告作弊已经形成了一个有完整链条的黑产行业。如何通过技术手段识别并防范广告作弊?本文通过介绍常见的广告计费模式和虚假流量的获益形式和发生机制,分析广告点击反作弊的核心问题,分享相关的反作弊实践经验,详解反作弊技术体系及核心算法。
技术揭秘 | 互联网广告黑产盛行,如何反作弊?
|
云安全 安全 双11
人机联合抵制双十一60亿次黑客的疯狂攻击
云是大规模体量下各种小概率事件常态化的一个复杂场,云上的攻防对抗是攻击者和防御者在这张复杂场上的博弈与演化。大规模的环境之中充斥着各种各样转瞬即逝的信息,对于威胁,没有什么是比「大规模」和「转瞬即逝」还更好的隐匿与庇护。
|
新零售 黑灰产治理
电商信用流行造假 央视315曝光刷单黑产
本文讲的是电商信用流行造假 央视315曝光刷单黑产【IT168 资讯】随着互联网技术的发展,电商行业逐步滋生了以“刷单”为盈利模式的黑色毒瘤。前期有相关人士爆料,刷出蓝钻仅需1000元。这种行为很显然严重扰乱了电商行业的健康发展。
1887 0
为遏制猖獗的刷榜,苹果把十年前的技术也搬出来用了…
本文讲的是为遏制猖獗的刷榜,苹果把十年前的技术也搬出来用了…,众所周知,App Store刷榜在国内是一个很猖獗的产业。
1610 0