蠕虫

XSS的入门与介绍 跨站攻击 XSS全称跨站脚本（Cross Site Scripting），一种注入式攻击方式。 XSS成因 对于用户输入没有严格控制而直接输出到页面 对非预期输入的信任 XSS的危害 盗取各类用户账号，如机器登录账号，用户网银账号，各类管理员账号 窃取数据 非法转账 挂马 XSS 实例 XSS的分类 常规的XSS分类 存储型（持久型） 反射型（非持久型） DOM型 其实DOM型也属于反射型的一种，不过比较特殊，所以一般也当做单独类 这个是我对掘金进行的DOM型XSS操作的实例 其他XSS类别 mXSS (突变型XSS) UXSS（通用型XSS） FlashXSS UTF-7 XSS MHTMLXSS CSSXSS VBScript XSS XSS盲打平台与蠕虫 XSS盲打是指攻击者对数据提交后展现的后台未知情况下的一种XSS攻击方式。 XSS盲打平台就是为这种方式提供基本平台功能 XSS蠕虫 Samy蠕虫 2005年10月14日，蠕虫在世界最流行的社交网站MySpace.com上传播，更改 了超过 一百万个人用户个人资料页面。 XSS蠕虫的原理 利用XSS实现某些操作，比如微博关注用户 实现某些操作的同时，触发蠕虫代码复制和传播 推荐书籍《XSS蠕虫&病毒--即将发生的威胁与最好的防御》 本文看自Web安全之WXSS 入门与介绍视频 来源： https:/

前言 比特币等虚拟货币在2019年迎来了久违的大幅上涨，从最低3000美元上涨至7月份的14000美元，涨幅达300%，巨大的金钱诱惑使得更多的黑产团伙加入了恶意挖矿的行列。阿里云安全团队通过对云上僵尸网络家族的监控，发现恶意挖矿已成为黑产团伙主要的牟利方式。2019年共监控到58个成规模的挖矿木马团伙(数据截止到8月底)，以累积感染量定义木马活跃度，下图/表是活跃TOP10的木马家族及简介。本文尝试从宏观角度分析、总结挖矿木马常用技术及发展趋势，以期能够给企业安全防护带来启示。         家族名         简介         平台         攻击方式 ddgs 一个Go语言实现的挖矿僵尸网络，最早曝光于2017年10月。 Linux SSH、Redis爆破 MinerGuard 一个Go语言实现的挖矿僵尸网络，2019年4月开始爆发 Windows、Linux双平台 SSH、Redis、Sqlserver爆破、多种web服务漏洞(ElasticSearch、Weblogic、Spring、ThinkPHP等) kerberods 2019年4月开始爆发的挖矿僵尸网络 Linux SSH爆破、Redis爆破、Confluence RCE等Web服务漏洞 kworkerds rootkit挖矿蠕虫，最早曝光于2018年9月 Linux、Windows双平台 ssh

缓冲区溢出是目前最常见的一种安全问题，操作系统以及应用程序大都存在缓冲区溢出漏洞。缓冲区是一段连续内存空间，具有固定的长度。缓冲区溢出是由编程错误引起的，当程序向缓冲区内写入的数据超过了缓冲区的容量，就发生了缓冲区溢出，缓冲区之外的内存单元被程序“非法”修改。 一般情况下，缓冲区溢出导致应用程序的错误或者运行中止，但是，攻击者利用程序中的漏洞，精心设计出一段入侵程序代码，覆盖缓冲区之外的内存单元，这些程序代码就可以被CPU所执行，从而获取系统的控制权。 8.1 缓冲区溢出攻击原理 1. 局部变量与堆栈的关系 在一个程序中，会声明各种变量。静态全局变量是位于数据段并且在程序开始运行的时候被初始化，而局部变量则在堆栈中分配，只在该函数内部有效。 如果局部变量使用不当，会造成缓冲区溢出漏洞。例如，以下程序将命令行的第1个参数拷贝到buf局部变量中。 int main(int argc, char **argv) { char buf[80]; strcpy(buf, argv[1]); } 在一次函数调用中，堆栈中将被依次压入：参数、返回地址。如果函数有局部变量，接下来，就在堆栈中开辟相应的空间(SUB ESP,x)以构造变量。函数执行结束时，恢复堆栈到函数调用的地址,弹出返回地址到EIP以继续执行程序。 例如，调用函数main(int argc, char **argv)时

样本信息： 名称：Synaptics.exe MD5：D127A9E5EBB80C5315295CDEEEC05A69 简单描述： Synaptics是蠕虫木马，具有感染性。此木马运行后显示一个隐藏工具，之后复制自身至C:\ProgramData\Synaptics目录，在设置注册表自启动。之后创建两个线程。 线程一：扫描特殊目录去感染exe文 件。主要是将名为“EXEUSNX”的资源数据注入进exe文件中，之后修改文件指针至恶意代码，带正常运行exe文件原先代码。 线程二：访问URL，后续操作由于服务器没有返回没有查看到。 分析过程： 1.运行后显示界面 图1 2.查看DIE，此木马为DELDHI程序。 3.IDA查看。发现看不出什么，OD动态调试。 4.入口点 前面3个函数主要是初始化以及创建一个名为Synaptics的窗口类 第四个函数为恶意代码主函数 5.第一个功能： 检索此木马所在当前目录是否存在名为“路径+_cache_+木马名称”的文件，此文件为木马文件的隐藏工具，即图1。 如果此文件存在，则运行。不存在，创建之后再运行。 文件名称 遍历文件 没有，则创建文件 文件数据为“EXEUSNX”的资源数据 将其属性设置为系统隐藏 之后运行。 6.检测木马所在目录是否为C:\ProgramData\Synaptics，如果不是，则检查此目录是否存在，目录存在