首页 > 网络安全 > browser ddos 在业务中的应用

browser ddos 在业务中的应用

2010年11月3日 发表评论 阅读评论

一般的browser ddos 主要用于让其浏览器崩溃,却未见到各种真实的在业务中应用的反攻击手段,最近遇到一个案例,攻击步骤如下:

1、攻击者盗取帐户,使用工具不断刷新页面,保持持久会话登录。

2、受害者发现帐户被盗,修改密码。

3、由于业务逻辑实现问题,不能让web登录的用户下线,受害做如何操作,都无法让攻击者退出。

4、攻击者使用有效的session保持会话,继续攻击。

由于业务逻辑问题,这里面最大的问题是:将用户的状态置为失效。

反攻击:因为目的是把用户重新登录,这里只要让将用户的浏览器崩溃,重新打开页面session失效,而此时,需要重新登录,由于受害者可以立即修改密码,所以攻击者就无法进行登录,就达到了我们的目的。如图所示:

反攻击中遇到的困难点:

1、需要有攻击者的联系方式:比如QQ、email,然后发送有ddos攻击的网页。

2、攻击者点击链接的成功性:这需要进行伪造一下诱惑性的文字,比如:看,裸女哇,还是XX公司的前台!http://www.xxx.com/ddos.html

3、需要确定用户的默认浏览器是否使用的和刷新session的浏览器是否是同一个。如果是用程序抓取数据包,重放攻击的,使用的是同一个浏览器控制,共享session对象。

4、需要模糊确定攻击者所使用的浏览器,以及版本,针对性的存放我们的browser ddos exploit code。

解决方案:

启用session失效功能,当修改密码时,要求集群服务器的共享 session服务器进行失效,将用户的状态置为失效状态。

其他:

获取browser ddos exploit code可以从:https://www.exploit-db.com/,http://www.securityfocus.com/ 等等站点获取。

总结:

由于反攻击步骤要考虑很多技术+心理学的知识,所以成功率要看反攻击者所做的方法了。综合上述,可以想象,攻击方式可以在很多场景下和业务结合,使我们的攻击更具有意义。

转载请注明:woyigui's blog [http://www.woyigui.cn/]
本文标题:browser ddos 在业务中的应用
本文地址:http://www.woyigui.cn/2010/11/03/browser-ddos-applications/

分类: 网络安全 标签: ,
  1. 甄马佳
    2010年11月3日16:14 | #1

    方法可以实现需求,但不是最好方法,而且,成功率很低。 首先,攻击者有技术上的优势,也了解社会工程学的知识,对于你发来的链接,攻击者会谨慎对待。一般,他们不会去访问,所以,成功率很低。

    我觉得,这样的需求,可以直接放到程序中操作。程序中添加代码,判断如果是受害者帐号,直接清空其cookie,踢出此session等操作。 这样的操作,可能反映及时,效率高,速度快,缺点是得改动程序。

    [回复]

  2. 2010年11月7日13:59 | #2

    感觉现在的很多技术跟社工都很有大的联系

    [回复]

  1. 本文目前尚无任何 trackbacks 和 pingbacks.
*