近日提供DDoS防护的公司Incapsula透露全球第27大网站——搜狐网的一个XSS跨站脚本漏洞成为一起大规模僵尸网络DDoS攻击的源头,黑客掌握了搜狐网的一个存储型跨站脚本漏洞(这个漏洞现已被修复)。
攻击者利用这个漏洞在搜狐视频的用户头像标签中注入JavaScript代码,随后攻击者在大量视频中发布评论,每条评论都附带了恶意代码。当用户访问含有恶意代码的页面时这些代码会执行并触发另外一个代码注入以及一个Ajax脚本DDoS工具,向用户浏览器发出指令,以每秒一次的频率向目标攻击网站发送请求。
虽然每秒一次的请求看上去频率并不高,但是考虑到搜狐网站的一些热门视频文件很多都长达20-30分钟,而且同时观看的用户数以千计,最终产生的DDoS攻击效果威力惊人,参与调查和防御此次DDoS攻击Incapsula认为这是有史以来规模最大的XSS跨站DDoS攻击。
Incapsula在公司博客中《One of World’s Largest Websites Hacked: Turns Visitors into “DDoS Zombies”》详细介绍了如何通过基于行为识别的安全算法成功拦截这次跨站攻击,以及如何发现攻击源自搜狐网。
11月 上海
CIS 2019首席信息安全官闭门高峰论坛11月
CIS 2019议题抢先看10月
公开课双十一活动9月 上海
CIS 2019官网上线,早鸟票同步开售
已有 18 条评论
高大上
搜狐接着躺着中枪~
顶
帅气
搜狐好忧伤啊。不是报乌云了么。怎么就成世界上最大的XSS DDOS了。。。
转发微博
用XSS进行流量劫持, 然后DDOS其它网站. 是不是有点借花献佛的意思?
您的微博账号曝光量过少,不利于贵公司做品牌宣传与推广。利用微博做到扩大企业曝光量,精确挖掘目标用户,新浪微博粉丝通做得到。您的竞争对手在使用粉丝通,您的目标客户都在使用微博,那您还在犹豫什么?
上次不是youtube么 最近这类DDOS文章越来越多了啊
http://wooyun.org/bugs/wooyun-2014-054174
弱弱的问下Ddos是什么啊。求科普
@green hat 就是在DOS下发起的攻击
@green hat 分布式拒绝服务攻击!简单的说就是调用大量的僵尸网络对某台机器发动虚拟的访问请求!当请求数超过了机器本身的处理能力,就会造成网络堵塞!从而切断了机器与外界的网络链接!打个比方吧,就是当很多人同一时刻访问一个网站是,网站就会很卡很卡,甚至都进不去!就像春运期间12306一样
DOS就是在windows下模拟dos进行攻击,要知道DOS的程序还是很难写的,特别是写出像XOIC之类的界面,所以大多数的黑客是以DDOS来衡量其水平的。
天下第一的天一黑客,he1en就是其中的佼佼者!
大神V5,在此膜拜orz!
@lodge132 ni hen er
又一个世界之最
几位对DDOS的解释真是让人开眼,跪了。。。
@ 哈哈 deny of service