利用HTML5标签进行DDoS攻击的新方法揭秘

时间: 2019-05-14阅读: 210标签: 安全

*严正声明:本文仅限于技术讨论与教育目的,严禁用于非法途径。

近期,来自Imperva Vitaly Simonovich和Dima Bekerman的安全研究专家发现了一种基于HTML5超链接审计功能(Ping标签)的大规模DDoS攻击。


新型DDoS攻击技术

在此次攻击活动中,DDoS攻击请求峰值达到了7500次请求/秒,在大概4个小时内攻击者总共利用了4000多个不同的用户向攻击目标发送了超过7000万次恶意请求。

Imperva的研究人员在其发布的安全分析报告中指出:“我们对此次DDoS攻击进行了深入分析,并且发现攻击活动中涉及到的攻击流量大多数来自于亚洲地区。而且,攻击者主要使用的是常用的HTML5属性,即<a>标签中的ping属性,并以此欺骗用户让他们在毫不知情的情况下参与到攻击者的DDoS攻击活动中来。整个攻击活动持续了大约4个小时,并成功向攻击目标发送了大约7000万次恶意请求。“

研究人员还表示,在此次攻击活动中,攻击者并没有利用任何安全漏洞,而是将合法的HTML5功能转换为了他们的攻击工具。值得一提的是,几乎所有“参与“到此次攻击中的用户都是QQ浏览器的用户,而这款浏览器的用户几乎全部都是我们自己人。

通过对日志进行分析后,专家们发现所有的恶意请求中都包含“Ping-From”和“Ping-To”这两个HTTP头,这也是迄今为止第一次发现攻击者使用<a>标签的Ping属性来实施DDoS攻击。


Ping属性

在攻击活动中,“Ping-From”和“Ping-To”的值都引用了“ http://booc [.]gz[.]bcebos[.]com/you[.]html”这个URL地址。

而且,请求中的User-Agent都跟我们每天都会用到的一款聊天App-微信有关。

专家认为,攻击者利用了社工技术以及恶意广告来欺骗微信用户打开默认浏览器,下面是安全专家描述的攻击场景:

1、 攻击者搭建钓鱼网站,并注入恶意广告。

2、 在iframe中注入广告并关联合法网站,然后将其发送到微信群。

3、 合法用户访问该网站后,恶意JavaScript代码将会执行,并针对用户点击的链接创建”Ping”属性。

4、 创建后将生成一个HTTP Ping请求,并通过合法用户的浏览器发送给目标域名。

专家还表示,除了QQ浏览器之外,还有很多浏览器都会受到这种新型DDoS攻击技术的影响。不过好消息就是,Firefox默认禁用了Ping属性。


简单分析

攻击者在搭建恶意网站时,使用了两个外部JavaScript文件,其中一个包含了DDoS攻击目标的URL地址数组,另一个JS文件主要用来从地址数组中随机选取一个URL地址,并创建带有Ping属性的<a>标签,然后通过代码实现每秒访问一次目标地址。

用户只要不停浏览或停留在这个网页上,他们的设备就会不断向目标站点发送Ping请求。研究人员表示,如果这个网站有4000个用户访问的话,每个小时大约可以生成1400万次恶意请求。


应对方案

如果你的Web服务器不希望或不需要接收来自于外部的Ping请求,你可以在边缘设备(防火墙或WAF等等)上屏蔽包含了“Ping-To”或“Ping-From”这两个HTTP头的任何Web请求,这样就可以抵御这种攻击了。


参考来源: securityaffairs ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM    
原文  https://www.freebuf.com/articles/web/202390.html 

 

浏览器显示“网站连接不安全”,是什么原因?

Chrome 浏览器显示“网站连接不安全”,这可能是您最近访问网站时经常遇到的问题,浏览器地址栏中域名前面显示圆圈i图标和“不安全”字样,点击这个字样,就会看到红字警告“你与此网站之间建立的连接不安全”,这是怎么回事?

web安全之网络安全

web安全是网络安全的一部分,怎么说呢,网络安全是个大范围,可以引申为互联网安全。包括软硬件在内,例如其中的数据安全就是指从数据的产生-传输-存储等环节都要保证其安全性。那么web安全就是特指web层面的

访问http网站Safari提示网站不安全怎么办?

macOS和iOS上的Safari在所有通过HTTP连接的地址栏中会显示“不安全”的警告。去年,谷歌Chrome和火狐MozillaFirefox是最先显示这种警告的主流浏览器。

Js混淆安全加固

在安全攻防战场中,前端代码都是公开的,那么对前端进行加密有意义吗?可能大部分人的回答是,毫无意义,不要自创加密算法,直接用HTTPS吧。但事实上,即使不了解密码学,也应知道是有意义的,因为加密前和解密后的环节

信息泄漏时代,如何让自己的密码更安全?

密码的重要性,相信大家都不言而喻。而密码泄漏或信息泄漏,经常是层出不穷地出现,令人防不胜防。所以,一个强大而复杂的密码是保证自己账户安全的第一步。

Web 安全漏洞之文件上传

文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上,当开发者没有对该文件进行合理的校验及处理的时候,很有可能让程序执行这个上传文件导致安全漏洞

Web安全:你必须知道的“Cookie安全”

http是无状态的请求响应。每次的请求响应之后,连接会立即断开或延时断开(保持一定的连接有效期)。断开后,下一次请求再重新建立。在http连接时,通过cookie进行会话跟踪,第一次响应时设置的Cookie在随后的每次请求中都会发送出去

企业网站怎么才能防御DDOS***?

他想要做一个网络安全防护,因为网站设计到了支付这一块的业务,所以要做网络安全防护,想要实时监测,如果有***发生需要第一时间知道情况。墨者安全告诉他可以的,那今天就讲讲企业网站怎么才能防御DDOS***?

XSS跨站脚本攻击

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。

网络安全的新方向_边缘计算

分布式、无所不在的计算基础设施可能以更大的攻击面为代价。通过采用边缘计算,公司将一些处理转移到外围,更靠近需要工作的地方,以提高性能、减少网络流量和减少延迟。这带来了一系列网络安全挑战,常规数据中心运营商可能无法应对。

fly63.com版权所有,内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权,请与小编联系!情况属实本人将予以删除!

广告赞助文章投稿关于web前端网站点搜索站长推荐网站地图站长QQ:522607023

小程序专栏: 土味情话心理测试脑筋急转弯幽默笑话段子句子语录成语大全