利用HTML5标签进行DDoS攻击的新方法揭秘

时间: 2019-05-14阅读: 419标签: 安全

*严正声明:本文仅限于技术讨论与教育目的,严禁用于非法途径。

近期,来自Imperva Vitaly Simonovich和Dima Bekerman的安全研究专家发现了一种基于HTML5超链接审计功能(Ping标签)的大规模DDoS攻击。


新型DDoS攻击技术

在此次攻击活动中,DDoS攻击请求峰值达到了7500次请求/秒,在大概4个小时内攻击者总共利用了4000多个不同的用户向攻击目标发送了超过7000万次恶意请求。

Imperva的研究人员在其发布的安全分析报告中指出:“我们对此次DDoS攻击进行了深入分析,并且发现攻击活动中涉及到的攻击流量大多数来自于亚洲地区。而且,攻击者主要使用的是常用的HTML5属性,即<a>标签中的ping属性,并以此欺骗用户让他们在毫不知情的情况下参与到攻击者的DDoS攻击活动中来。整个攻击活动持续了大约4个小时,并成功向攻击目标发送了大约7000万次恶意请求。“

研究人员还表示,在此次攻击活动中,攻击者并没有利用任何安全漏洞,而是将合法的HTML5功能转换为了他们的攻击工具。值得一提的是,几乎所有“参与“到此次攻击中的用户都是QQ浏览器的用户,而这款浏览器的用户几乎全部都是我们自己人。

通过对日志进行分析后,专家们发现所有的恶意请求中都包含“Ping-From”和“Ping-To”这两个HTTP头,这也是迄今为止第一次发现攻击者使用<a>标签的Ping属性来实施DDoS攻击。


Ping属性

在攻击活动中,“Ping-From”和“Ping-To”的值都引用了“ http://booc [.]gz[.]bcebos[.]com/you[.]html”这个URL地址。

而且,请求中的User-Agent都跟我们每天都会用到的一款聊天App-微信有关。

专家认为,攻击者利用了社工技术以及恶意广告来欺骗微信用户打开默认浏览器,下面是安全专家描述的攻击场景:

1、 攻击者搭建钓鱼网站,并注入恶意广告。

2、 在iframe中注入广告并关联合法网站,然后将其发送到微信群。

3、 合法用户访问该网站后,恶意JavaScript代码将会执行,并针对用户点击的链接创建”Ping”属性。

4、 创建后将生成一个HTTP Ping请求,并通过合法用户的浏览器发送给目标域名。

专家还表示,除了QQ浏览器之外,还有很多浏览器都会受到这种新型DDoS攻击技术的影响。不过好消息就是,Firefox默认禁用了Ping属性。


简单分析

攻击者在搭建恶意网站时,使用了两个外部JavaScript文件,其中一个包含了DDoS攻击目标的URL地址数组,另一个JS文件主要用来从地址数组中随机选取一个URL地址,并创建带有Ping属性的<a>标签,然后通过代码实现每秒访问一次目标地址。

用户只要不停浏览或停留在这个网页上,他们的设备就会不断向目标站点发送Ping请求。研究人员表示,如果这个网站有4000个用户访问的话,每个小时大约可以生成1400万次恶意请求。


应对方案

如果你的Web服务器不希望或不需要接收来自于外部的Ping请求,你可以在边缘设备(防火墙或WAF等等)上屏蔽包含了“Ping-To”或“Ping-From”这两个HTTP头的任何Web请求,这样就可以抵御这种攻击了。


参考来源: securityaffairs ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM    
原文  https://www.freebuf.com/articles/web/202390.html 

 

站长推荐

1.阿里云: 本站目前使用的是阿里云主机,安全/可靠/稳定。点击领取2000元代金券、了解最新阿里云产品的各种优惠活动点击进入

2.腾讯云: 提供云服务器、云数据库、云存储、视频与CDN、域名等服务。腾讯云各类产品的最新活动,优惠券领取点击进入

3.广告联盟: 整理了目前主流的广告联盟平台,如果你有流量,可以作为参考选择适合你的平台点击进入

链接: http://www.fly63.com/article/detial/3326

前端安全之防范XSS

XSS大部分前端coder都不会陌生,全称:跨站脚本漏洞(Cross Site Scripting,简写作XSS)是Web应用程序在将数据输出或者展示到网页的时候存在问题,导致攻击者可以将对网站的正常功能造成影响甚至窃取或篡改用户个人信息

前端开发人员的10个安全建议

Web安全是前端开发人员经常忽略的主题。当我们评估网站的质量时,我们通常会查看性能,SEO友好性和可访问性等指标,而网站抵御恶意攻击的能力却常常被忽略。即使敏感的用户数据存储在服务器端

前端安全之xss攻击

XSS 攻击指通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的代码。危害有什么?跳转到广告页面,页面注入广告等等。导致公司域名被其他平台拉黑,从而使业务受损。

浅谈前端安全

将Web安全问题按照发生的区域来分类,发生在浏览器、Web页面中的安全问题就是前端安全问题。同源:URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。

十大开源Web应用安全测试工具

Web应用安全测试可对Web应用程序执行功能测试,找到尽可能多的安全问题,大大降低黑客入侵几率。在研究并推荐一些优秀的开源Web应用安全测试工具之前,让我们首先了解一下安全测试的定义、功用和价值。

web安全方案

完善的内容安全策略(CSP)是前端应用程序安全的基石。CSP是浏览器中引入的一种标准,用于检测和缓解某些类型的代码注入攻击,包括跨站点脚本(XSS)和点击劫持。

常见Web安全问题攻防解析

XSS (Cross Site Script),跨站脚本攻击,因缩写和 CSS (Cascading Style Sheets) 重叠,所以叫 XSS。XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行

HTTPS为什么是安全的?

超文本传输协议HTTP被用于在web浏览器和网站服务器之间传递信息,但以明文方式发送内容,被攻击者截取就可以直接读取内容信息,不适合传输敏感信息。为解决这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS

前端用v-html影响安全性

你的站点上动态渲染的任意 HTML 可能会非常危险,因为它很容易导致 XSS 攻击。请只对可信内容使用 HTML 插值,绝不要对用户提供的内容插值。使用 <pre> 标签替换掉 <div> 标签。

14个Linux系统安全小妙招

对于互联网IT从业人员来说,越来越多的工作会逐渐转移到Linux系统之上,这一点,无论是开发、运维、测试都应该是深有体会。曾有技术调查网站W3Techs于2018年11月就发布一个调查报告,报告显示Linux在网站服务器的系统中使用率高达37.2%

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!

文章投稿关于web前端网站点搜索站长推荐网站地图站长QQ:522607023

小程序专栏: 土味情话心理测试脑筋急转弯幽默笑话段子句子语录成语大全运营推广