搜狐視頻爆XSS漏洞變身DDoS怪獸

近日，DDoS安(an)保公司Incapsula透露全球第27大網站(zhan)——搜(sou)狐網的一(yi)個XSS跨站(zhan)腳本漏洞成為一(yi)起大規模僵尸網絡DDoS攻(gong)擊的源(yuan)頭(tou),黑客掌握了搜(sou)狐網的一(yi)個存儲型(xing)注入點(這(zhe)個漏洞現已被修復)。

攻擊(ji)者利用(yong)(yong)這個漏(lou)洞在搜狐視(shi)頻(pin)(pin)的(de)(de)用(yong)(yong)戶(hu)頭像(xiang)標(biao)簽中注(zhu)入JavaScript代(dai)(dai)碼，隨后攻擊(ji)者在大(da)量視(shi)頻(pin)(pin)中發(fa)布(bu)評論(lun)，每(mei)條評論(lun)都附(fu)帶(dai)了惡意(yi)代(dai)(dai)碼。當用(yong)(yong)戶(hu)訪問含有惡意(yi)代(dai)(dai)碼的(de)(de)頁(ye)面時這些(xie)代(dai)(dai)碼會執行并觸發(fa)另(ling)外一個代(dai)(dai)碼注(zhu)入以及(ji)一個Ajax腳本DDoS工具，向用(yong)(yong)戶(hu)瀏覽器(qi)發(fa)出指令(ling)，以每(mei)秒一次的(de)(de)頻(pin)(pin)率向目(mu)標(biao)攻擊(ji)網站發(fa)送請(qing)求。

雖然(ran)每秒一次(ci)的(de)(de)請求看(kan)上去頻率(lv)并(bing)不高，但是考慮到搜狐網(wang)站(zhan)的(de)(de)一些熱門視頻文件很多(duo)都長達20-30分鐘，而且同時觀看(kan)的(de)(de)用戶數以千計，最終產生的(de)(de)DDoS攻擊效果(guo)威力(li)驚(jing)人，參(can)與(yu)調查和(he)防御(yu)此次(ci)DDoS攻擊Incapsula認為這是有史以來規模最大的(de)(de)XSS跨站(zhan)DDoS攻擊(編(bian)者按：4月初Incapsula在(zai)博客上首次(ci)透露(lu)此次(ci)攻擊事(shi)件時并(bing)未公布(bu)存在(zai)XSS漏洞的(de)(de)網(wang)站(zhan)名字，信息安(an)全界普遍猜測是Youtube)。

Incapsula在公司博(bo)客中詳細介紹(shao)了如何通過(guo)基于行為識別的安全算法成功(gong)攔截這次跨站攻(gong)擊(ji)，以及如何發(fa)現攻(gong)擊(ji)源自(zi)搜狐網。