Hacking Team是一家以协助政府监视公民而“闻名于世”的意大利公司，他们向包括摩洛哥、埃塞俄比亚以及美国毒品管制局在内的政府及执法机构出售入侵和监视工具。而这两天他们居然被黑了！

“Hacking Team”反被“Hacked”

作为一家专业从事监视技术的黑客团队及公司，Hacking Team（以下简称HT）今天亲身体验了内部数据被公之于众的感受。

分享一下他们泄露出来的工具吧 会使用的小伙伴们有福了 不会使用的就存起来吧

包括 flash的exp，所有系统的exp和tools !

下载地址:

https://mega.co.nz/#F!3EB2UTiT!BH022mXlud6bJu3dEfuVMw

1.Command Execution (命令执行) --- Ping测试

我们打开dvwa后选择-Command Execution可以看到:

那我们在文本框随便输入一个IP看看,我输入 192.168.1.1 得到如下结果:

可以ping 说明是可以执行命令的 ,那我们试试加上一些命令呢? 例如加上列目录的命令 &dir (Linux下不一样  自行修改)

OK,至此说明命令执行测试成功,至于还可以干啥,什么命令就自己慢慢练习吧.

源码如下:

<pre style="overflow:auto" ;class="prettyprint lang-php linenums"> <?php
if( isset( $_POST[ 'submit' ] ) ) {
$target = $_REQUEST[ 'ip' ];
// Determine OS and execute the ping command.
if (stristr(php_uname('s'), 'Windows NT')) {
$cmd = shell_exec( 'ping ' . $target );
echo '<pre>'.$cmd.'</pre>';
} else {
$cmd = shell_exec( 'ping -c 3 ' . $target );
echo '<pre>'.$cmd.'</pre>';
}
}
?>

攻防FAQ:

  命令执行(命令注入)攻击的目的，是在易受攻击的应用程序中执行攻击者指定的命令，在这样的情况下应用程序执行了不必要的命令就相当于是攻击者得到了一个系统的Shell，攻击者可以利用它绕过系统授权，基于权限继承原则，Shell将具有和应用程序一样的权限。

      命令执行是由于开发人员对用户的输入未进行严格的过滤导致，通常可以通过表单,cookie,以及http头进行操作。

      针对linux系统，我们可以使用;来实行命令执行,针对windows系统，我们可以使用&&来实行命令执行。例如: 127.0.0.1 && dir

2.Cross Site Request Forgery (CSRF--跨站请求伪造)

密码就自动被修改了.

其源码如下:

<pre style="overflow:auto" ;class="prettyprint lang-php linenums"> <?php
if (isset($_GET['Change'])) {
// Turn requests into variables
$pass_new = $_GET['password_new'];
$pass_conf = $_GET['password_conf'];
if (($pass_new == $pass_conf)){
$pass_new = mysql_real_escape_string($pass_new);
$pass_new = md5($pass_new);
$insert="UPDATE users SET password = '$pass_new' WHERE user = 'admin';";
$result=mysql_query($insert) or die('<pre>' . mysql_error() . '</pre>' );
echo "<pre> Password Changed </pre>";
mysql_close();
}
else{
echo "<pre> Passwords did not match. </pre>";
}
}
?>

攻防FAQ:

  跨站请求伪造(cross-site request forgery)通常缩写为XSRF，直译为跨站请求伪造，即攻击者通过调用第三方网站的恶意脚本或者利用程序来伪造请求，当然并不需要向用户端伪装任何 具有欺骗的内容，在用户不知情时攻击者直接利用用户的浏览器向攻击的应用程序提交一个已经预测好请求参数的操作数据包，利用的实质是劫持用户的会话状态， 强行提交攻击者构造的具有“操作行为”的数据包。可以看出，最关键的是劫持用户的会话状态，所以说，导致XSRF漏洞的主要原因是会话状态的保持没有唯一 时间特征的标识，即是说在使用HTTPCookie传送会话令牌的过程中，应该更谨慎的判断当前用户，而不是简单的通过操作数据包的Cookie值来鉴 别，简单的说是每次数据交互时，对提交的数据包实行唯一性标识。

3.Insecure CAPTCHA (不安全的验证码)

我们需要创建一个reCAPTCHA秘钥,打开https://www.google.com/recaptcha/admin/create 即可创建,需要查资料的同学,请查看我之前发布的免费VPN:https://mrxn.net/free/173.html  或者是使用我提供的这两个:

$_DVWA['recaptcha_public_key'] = "6Lch89YSAAAAAPtf0M1lXQnqx3lBH27Syob4Xe9I";
$_DVWA['recaptcha_private_key'] = "6Lch89YSAAAAANFwnpEQMwVvCg90mzTF_FuAwcr5";

然后在更改密码输入框就会出现验证码:

这时候我们输入新密码 不用输入验证码就可以修改密码.

源码:

<?php
if( isset( $_POST['Change'] ) && ( $_POST['step'] == '1' ) ) {
    $hide_form = true;
    $user = $_POST['username'];
    $pass_new = $_POST['password_new'];
    $pass_conf = $_POST['password_conf'];
    $resp = recaptcha_check_answer ($_DVWA['recaptcha_private_key'],
        $_SERVER["REMOTE_ADDR"],
        $_POST["recaptcha_challenge_field"],
        $_POST["recaptcha_response_field"]);
    if (!$resp->is_valid) {
        // What happens when the CAPTCHA was entered incorrectly
        echo "<pre><br />The CAPTCHA was incorrect. Please try again.</pre>";
        $hide_form = false;
        return;    
    } else {
            if (($pass_new == $pass_conf)){
            echo "<pre><br />You passed the CAPTCHA! Click the button to confirm your changes. <br /></pre>";
            echo "
            <form action=\"#\" method=\"POST\">
                <input type=\"hidden\" name=\"step\" value=\"2\" />
                <input type=\"hidden\" name=\"password_new\" value=\"" . $pass_new . "\" />
                <input type=\"hidden\" name=\"password_conf\" value=\"" . $pass_conf . "\" />
                <input type=\"submit\" name=\"Change\" value=\"Change\" />
            </form>";
            }    
            else{
                    echo "<pre> Both passwords must match </pre>";
            $hide_form = false;
            }
    }
}
if( isset( $_POST['Change'] ) && ( $_POST['step'] == '2' ) ) 
{
    $hide_form = true;
        if ($pass_new != $pass_conf)
        {
                echo "<pre><br />Both passwords must match</pre>";
        $hide_form = false;
                return;
        }
        $pass = md5($pass_new);
        if (($pass_new == $pass_conf)){
               $pass_new = mysql_real_escape_string($pass_new);
               $pass_new = md5($pass_new);
               $insert="UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
               $result=mysql_query($insert) or die('<pre>' . mysql_error() . '</pre>' );
               echo "<pre> Password Changed </pre>";
               mysql_close();
        }
        else{
               echo "<pre> Passwords did not match. </pre>";
        }
}
?> 

本文提供的破解方式仅供软件试用，请于24小时内删除

众所周知，Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析，到寻找和利用安全漏洞等过程，所有工具为支持整体测试程序而无缝地在一起工作。

平台中所有工具共享同一robust框架，以便统一处理HTTP请求、持久性、认证、上游代理、日志记录、报警和可扩展性。Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。

Burp Suite的重要特性

拦截代理（Proxy），你可以检查和更改浏览器与目标应用程序间的流量；
可感知应用程序的网络爬虫（Spider），它能完整的枚举应用程序的内容和功能；
高级扫描器，执行后它能自动地发现web应用程序的安全漏洞；
入侵测试工具（Intruder），用于执行强大的定制攻击去发现及利用不同寻常的漏洞；
重放工具（Repeater），一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具；
会话工具（Sequencer），用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具；
解码器，进行手动执行或对应用程序数据者智能解码编码的工具；
扩展性强，可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suit的功能。

Burp Suite版本更新手札

v1.6.15

这一版本引入了一个全新的特性：Burp Collaborator（拍档）。

Burp Collaborator是一个外部服务器，它可以用来帮助发现各种各样的漏洞并拥有变革web安全测试的潜力。基于这一平台，开发商添加了许多令人激动的新功能。

这个版本引入了一些新型扫描仪检测方式，并通过了新功能测试。

v1.6.16

这一版本解决了上一版本中新特性Burp Collaborator的一些问题，包括即使在使用者停用Collaborator的情况下，Burp有时会发送一些Collaborator相关测试负载。

这个版本仍然在检测Burp Collaborator是否还有更多问题的测试中。

v1.6.17

这一版本中包含许多小的改进和修正：

在算法可用的情况下，代理使用SHA256来生成CA以及每主机证书；否则，故障转移到使用SHA1。更新至基于SHA256的CA证书能够移除一些浏览器中的SSL警告。
在代理/选项/代理侦听器上有一个新按钮迫使Burp生成自己的CA证书。你将需要重启Burp来激活这个新变化，然后在浏览器中安装新的证书。这个功能可以用于切换至基于SHA286的CA证书。
修复了之前“从文件中粘帖”的功能缺陷，该缺陷有时会造成Burp在选定的文件中保持锁定。
修复了有时提取HTML内容在结果视图窗中仍呈现为HTML的“提取grep”的功能缺陷。
修复了浏览器有时发送包含代理服务器被使用的请求。存在一些攻击试图使用一个标题引诱浏览器访问一些含有敏感数据的恶意网站。而代理/选项/音乐中的新选择将帮助你远离这些。
目前爬虫在从响应文本中抽取链接的时候会忽略Burp Collaborator URLs。一些应用程序包含了储存和检索文本功能。当使用Burp扫面这些应用是，它们倾向于储存一些或全部Burp在扫描时发送的有效负载，并在之后的响应中返还。Burp最好在爬虫时不返还任何Collaborator URLs给站点。

v1.6.17版破解版：下载地址 （警告：请自行检测程序安全性，仅供尝鲜，24小时内自觉删除）

Mrxn声明：此文章只能用于学习研究，禁止用于非法用途，否则后果与本博客无关。

0X1：总体描述

磊科NW系列路由器存在不需要登录路由器就可以下载路由器配置文件param.file.tgz，通过WinHEX查看此配置文件可得到路由器配置信息，包括路由器登录用户名密码，宽带账号、密码，动态域名登录用户名密码，WiFi_ssid wifi_key等等。

注：前提是你已经破解了WiFi密码，连接上了WiFi。教程：WiFi破解教程，资源下载，自己看吧。 没有的可以自己测试一下自己的路由器

0X2：具体操作

eg：路由器的网关是192.168.1.1 ，打开IE，在地址栏输入：http://192.168.1.1，然后回车>>>>>>

是不是需要账号密码？下面就是重点：

我们点击登录窗口右上角的那个 红X (鼠标位置，给小白的，老鸟飞过吧 ^_^) ，关掉登录窗口，然后在地址栏的末尾添加上param.file.tgz，地址改变为：http://192.168.1.1/param.file.tgz 此时神器的事情就发生了哦，如下图所示：

下载保存吧。注：只能用IE自带的下载，其他的下载不好使。 

下载完后，就是读取配置文件的时候了；

0X3，用神器WinHex读取 **.file.tgz 配置文件

WinHex 绿色免安装版下载 （点击下载）

路由器登录用户名+密码;

WiFi_ssid + WiFi_key （骚年必须先破解了才能蹭网执行上面的步骤吧 O(∩_∩)O哈哈~）；

路由器的型号，固件版本通通都知道了吧。 

0X4，End

你得到了这些后可以干很多事情的的，比如cookies劫持，登录他的空间，微博，百度账号。内网嗅探，渗透deng 自由发挥吧<<<<<

也可以参看我的另一篇教程：破解了你的路由密码后，我还可以这样做，绝对不是蹭你网这么简单

好了，教程到此结束了，写教程真的很累，原创，转载请注明出处Mrxn's Blog，谢谢。

漏洞背景

“BadUSB”是今年计算机安全领域的热门话题之一，该漏洞由Karsten Nohl和Jakob Lell共同发现，并在今年的BlackHat安全大会上公布。BadUSB号称是世界上最邪恶的USB外设。

笔者使用他们的代码做了个类似的U盘，用户插入U盘，就会自动执行预置在固件中的恶意代码，下载服务器上恶意文件，执行恶意操作。注意，这里的U盘自动运行可不是以前的autorun.inf自动运行程序哦，具体的技术细节可以参考后文内容。

视频链接：http://v.qq.com/boke/page/l/g/w/l01425u2igw.html

BadUSB最可怕的一点是恶意代码存在于U盘的固件中，由于PC上的杀毒软件无法访问到U盘存放固件的区域，因此也就意味着杀毒软件和U盘格式化都无法应对BadUSB进行攻击。

BadUSB原理

在介绍BadUSB的原理之前，笔者在这里先介绍下BadUSB出现之前，利用HID(Human InterfaceDevice，是计算机直接与人交互的设备，例如键盘、鼠标等)进行攻击的两种类型。分别是"USB RUBBERDUCKY"和"Teensy"。

TEENSY介绍

攻击者在定制攻击设备时，会向USB设备中置入一个攻击芯片，此攻击芯片是一个非常小而且功能完整的单片机开发系统，它的名字叫TEENSY。通过TEENSY你可以模拟出一个键盘和鼠标，当你插入这个定制的USB设备时，电脑会识别为一个键盘，利用设备中的微处理器与存储空间和编程进去的攻击代码，就可以向主机发送控制命令，从而完全控制主机，无论自动播放是否开启，都可以成功。

关于TEENSY，可以参考天融信阿尔法实验室的《HID攻击之TEENSY实战》

USB RUBBER DUCKY介绍

简称USB橡皮鸭，是最早的按键注入工具，通过嵌入式开发板实现，后来发展成为一个完全成熟的商业化按键注入攻击平台。它的原理同样是将USB设备模拟成为键盘，让电脑识别成为键盘，然后进行脚本模拟按键进行攻击。

这两种攻击方式，是在BadUSB公布之前，比较流行的两种HID攻击方式，缺陷在于要定制硬件设备，通用性比较差。但是BadUSB就不一样了，它是在“USB RUBBER DUCKY”和“Teensy”攻击方式的基础上用通用的USB设备（比如U盘）。

U盘的内部构造

U盘由芯片控制器和闪存两部分组成，芯片控制器负责与PC的通讯和识别，闪存用来做数据存储；闪存中有一部分区域用来存放U盘的固件，它的作用类似于操作系统，控制软硬件交互；固件无法通过普通手段进行读取。

BadUSB就是通过对U盘的固件进行逆向重新编程，相当于改写了U盘的操作系统而进行攻击的。

USB协议漏洞

为什么要重写固件呢？下面我们可以看看USB协议中存在的安全漏洞。

现在的USB设备很多，比如音视频设备、摄像头等，因此要求系统提供最大的兼容性，甚至免驱；所以在设计USB标准的时候没有要求每个USB设备像网络设备那样占有一个唯一可识别的MAC地址让系统进行验证，而是允许一个USB设备具有多个输入输出设备的特征。这样就可以通过重写U盘固件，伪装成一个USB键盘，并通过虚拟键盘输入集成到U盘固件中的指令和代码而进行攻击。

BadUSB利用代码分析

笔者对KarstenNohl和Jakob Lell公布的代码进行简单的一个流程解析。

这样一个带有恶意代码的U盘就产生了，更详细的可以搜索Karsten Nohl 和 Jakob Lell公布的代码。

总结

“USB RUBBER DUCKY”、“TEENSY”、“BadUSB”三种最终都是利用了USB协议的漏洞而进行攻击的，“BadUSB”和另外两者的区别在于：BadUSB可以利用普通的USB设备，而不需要进行硬件定制，更具有普遍性。

HID攻击方式有很多种，BadUSB作为其中一种是通过伪装成键盘设备来实现的，同时HID攻击也可以通过伪装成网卡进行DNS劫持攻击。BadUSB的危害目前局限于单向感染，即USB设备感染PC，暂无发现从PC感染USB设备案例。

为了预防此类安全风险，需要我们在日常使用USB设备时，不要使用陌生的USB设备，避免USB存在恶意代码导致安全风险。

延伸：更多的USB接口攻击

通过USB接口攻击的案例很多，BadUSB只是一类，还有通过USB接口横跨PC和Mobile平台进行攻击的案例。

     比如今年爆发的WireLurker蠕虫，感染病毒的电脑系统会通过USB接口去间接感染iOS设备，即使是未越狱的设备也无法避免；

最近央视也报道了充电宝盗取手机隐私的案例。对于愈演愈烈的USB风险，应用层还没有见到好的解决方案。倒是硬件层面比较容易解决。比如360无线安全研究团队的SecUSB，还有我们腾讯安全应急响应中心的SecLine。原理都是将USB中的两根数据线去掉。转自freebuf

原文题目：deDacota: Toward Preventing Server-Side XSS via Automatic Code and Data Separation

原文地址：http://cs.ucsb.edu/~adoupe/static/dedacota-ccs2013.pdf

以下为译文：

Web应用持续受到各种方式的攻击。跨站脚本漏洞是最流行的漏洞之一，产生原因是不被信任的恶意数据通过浏览器提交给应用，并且被解释为程序代码，最终被浏览器执行，造成攻击。本文介绍一种方法可以高效、自动重写应用代码，实现分离网页代码和内联JS脚本，应用CSP策略避免跨站脚本漏洞的产生。

一、跨站脚本漏洞：

跨站脚本攻击（Cross-site scripting，通常简称为XSS）发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容， 使得其他网站用户在观看此网页时，这些代码注入到了用户的浏览器中执行，导致用户受到攻击。一般而言，利用跨站脚本攻击，攻击者可窃会话COOKIE从而窃取网站用户的隐私，包括密码。

跨站漏洞从利用方式来说分为反射性漏洞和存储型漏洞，发生原因是服务端对用户输入的数据没有进行适当的过滤，导致发送给浏览器的网页携带恶意脚本，从而产生漏洞。从跨站脚本产生的位置不同，又可以分为客户端跨站漏洞和服务端跨站漏洞。客户端跨站漏洞的产生不依赖于用户提交到服务器的数据，也称之为DOM-XSS漏洞。而服务端跨站漏洞依赖于用户提交到服务器的数据，本文主要的研究内容就是如何通过分离网页代码和内联JS脚本，并应用CSP的方式阻止服务端XSS攻击。

二、内容安全策略（CSP）

为了缓解很大一部分潜在的跨站脚本问题，浏览器的扩展程序系统引入了内容安全策略（CSP）的一般概念。这将引入一些相当严格的策略，会使扩展程序在默认情况下更加安全，开发者可以创建并强制应用一些规则，管理网站允许加载的内容。

CSP 以白名单的机制对网站加载或执行的资源起作用。在网页中，这样的策略通过 HTTP 头信息或者 meta 元素定义。CSP虽然提供了强大的安全保护，但是他也造成了如下问题：Eval及相关函数被禁用、内嵌的JavaScript代码将不会执行、只能通过白名单来加载远程脚本。这些问题阻碍CSP的普及，如果要使用CSP技术保护自己的网站，开发者就不得不花费大量时间分离内嵌的JavaScript代码和做一些调整，本文研究的技术可以自动化分离网页代码和内联JS脚本，帮助网站支持CSP技术从而避免潜在的跨站攻击。

三、内联JS分离技术

内联JS分离技术包含三个主要步骤：

1、 静态分析网页代码的HTML输出。

2、 从HTML页面抽取出全部内联JavaScript代码。

3、 重写应用代码以便于适应分离的内联JavaScript代码。

这项分离技术也有一些局限性，比如不能应用于混淆、加密后的代码，只针对服务端XSS漏洞，对于基于DOM的XSS漏洞完全无效。所以这项技术对于XSS漏洞来说并不是万灵药，在与CSP策略结合后只解决大部分XSS的问题，减轻了开发人员的工作量，如果想要完全防御XSS漏洞，只需针对动态产生的JS代码和DOM-XSS做过滤和检测。

以ASP.NET网页表单页面为例。

图一： 简单的ASP.NET代码

首先需要确定应用程序是如何输出内容到页面：

<%%>之前的内容会直接输出到HTML页面，并且他们都是C#代码。

<%=代表这个C#代码是变量，在程序运行时其内容会被决定，并输出到HTML页面。

从图一中可以看出，第二行定义的是常量，第三行定义的是变量，在第七行username这个变量就被输出到HTML中，作为内联JS脚本执行。

图二：被C#编译器编译后的图一中代码。

在经过C#编译后的代码中，Write函数代替了<%%>标签作为输出函数，可以将内容写到页面当中。而var username代替了<%=标记，通过第八行的Wirit(this.username)将变量内容输出到页面当中。

在第一个阶段有两个关键步骤。第一个是确定将要输出到页面的内容。第二个是确定输出函数被调用的顺序。

我们使用points-to分析算法静态分析源代码来解决这个问题。简单的说points-to算法可以确定指针与变量地址的对应关系，最初被应用于C代码的静态分析当中。这个算法可以确定变量内存储的是常量字符串还是变量。通过它就可以判断Write函数将要输出的内容是常量还是变量，也就确定了那些地方是我们需要分离的数据。

为了确定Write函数被调用的顺序，我们使用了标准的控制流程图，可以准确确定函数调用顺序。这个控制流程图是一个无回路有向图（DAG），任何从根节点出发的叶子节点都代表一个可能的页面输出。

图三：程序控制流程图

图中每个实线圈出的节点都是直接输出常量到页面中，虚线圈出的节点是变量输出到节点，该节点值由程序动态决定。

在第二个阶段，我们使用之前生成的有向图精确地分离内联Javascript代码。从根节点出发到达的每个叶子节点都代表一个潜在的页面输出。我们使用一个递归算法递归全部的路径，对每个输出字符串进行识别，从而分离出Javascript代码。在这个过程中可能产生路径爆炸问题，因为即使一些很简单的代码也可能产生大量的逻辑路径，导致遍历失败。我们通过两种方法解决这个问题，第一个就是忽略注释代码。第二个是在每一对Javascript标记中处理不同路径，减少一次性处理的范围。当全部的内联Javascript代码都被识别之后，我们将结果传入下一个阶段——代码重写。

第三个阶段将全部内联Javascript代码与HTML代码分离，将他们存入外部Javascript文件中。原来写Javascript代码的地方被替换为<script src=”External.js”></script>这种形式。程序依照以下流程来重写应用：首先检查Wirte函数中要输出的内容，如果包含Javascript的开始标记，就使用SESSION标记指明这个地方含有内联Javascript代码，重写功能就会先移除这个Javascript标记然后将JS代码内容存入Session缓冲区，并且保持SESSION标记是唯一的，当程序读取到JS结束标记后，删除这个标记，一个内联JS就完整的与代码分离了。之后这个过程一直重复，直到内联JS代码全部被存入Session缓冲区为。最后对每个session缓冲区区hash值，作为外部JS文件名称，以便程序调用。

图四：重写之后的代码。

执行完这些步骤我们已经可以完全分离了内联JS脚本，如果其中的脚本仅仅是静态产生的JS脚本，那么网站在应用CSP后就可以完全防御XSS攻击的威胁。但是内联JS脚本中还有动态产生的脚本，将这些脚本仅仅分离到外部JS文件不能防御XSS攻击。比如针对图一中的代码。如果输入username=””;alert(‘xss’)//;那么最终在浏览器执行的脚本会是<script> var username=””;alert(‘xss’)//”;></script>，依然产生跨站威胁。这种跨站威胁应用我们的处理流程是不能完全根除的，因为这是服务端跨站漏洞。但是我们为了减轻动态脚本产生XSS漏洞的可能性，采取了两个处理方法。第一个方法是标记并记录动态脚本，方便人工评估动态产生的脚本是否包含漏洞。第二个方法是定制相应的过滤方法，对动态输出的内容进行转义、过滤。这两个方法只能减轻动态JS脚本产生XSS漏洞的可能性，但不能完全杜绝，这也就是为什么本文主要针对服务端XSS漏洞。

四、评估与实验

实验主要评估该方法的三个方面，第一个是抵御XSS攻击的效果，第二个是重写后的应用源代码是否会产生异常，第三个是重写应用代码对应用性能的影响。

实验选取了以下应用作为实验对象：

图五：选取的实验对象。

实验对象选取的条件主要是以下三点：

1、 应用程序开源。

2、 应用包含已知的XSS漏洞。

3、 应用代码没有经过混淆、加密。

因为ASP.NET开源项目很少，所以最后满足条件的项目只有这6个。这些项目有MVC框架的也有非MVC框架，并包含一定量的代码行数（LOC），满足我们的实验条件。

五、    实验结果：

当内联JS代码分离完成及应用了CSP策略后，我们手工的使用EXP对网站进行攻击，原始应用都产生了漏洞，但经过流程处理后的应用都防御了攻击。为了检测处理后的网站时候会产生错误，我们采取手工测试的方法，对每个页面的功能进行检测，最后发现没有任何错误产生。在图六中我们可以看到不同应用的JS分布。安全动态JS指程序识别出动态生成的JS输出内容并进行清理转义，已经安全。不安全的动态JS是我们不能正确识别的，仅进行记录并分离到外部JS文件中。图中（4）标记代表在ASP.NET框架编译程序时会自动产生4个JS脚本，这是我们不可控的元素，不作考虑。最后我们测试了应用性能，结果显示内联JS代码分离可根据内联JS代码使用数量的多少，适当减小页面代码，加速页面加载速度。对于内联JS使用较少的页面会产生反效果，但是不会产生较大影响。

图六：内联JS分离完成后的文件分布。

图七：内联JS分离完成后页面大小及响应时间对比。

六、总结与不足：

这项技术主要通过结合CSP策略来防御XSS攻击，根据我们的实验结果，该项技术已经达到一定的实际应用水平，可以抵御服务端XSS攻击并且不影响程序的执行结果和网站效率。

这项分离技术也存在一些局限性，比如不能应用于混淆、加密后的代码，只针对服务端XSS漏洞，对于基于DOM的XSS漏洞完全无效。虽然这个方法已经基本可以应用到实际场景当中，但是程序获得内联JS的方法还需要持续改进。目前对于复杂的框架模板比如PHP经常使用的框架Thinkphp，不修改原有程序就识别内联JS脚本存在困难。但是只要解决了输出是如何被应用创建的，和怎样重写应用这两个问题，那么这项技术就可以应用于该框架。对于不同的框架需要不同的定制，对框架通用性较差。

为何会有APT？

2013年4月份Verizon发布的《2013年数据破坏调查报告》报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。

在木马病毒泛滥时代的地下经济驱动中，各个国家均是地下经济体系和恶意代码的受害者。而APT出现的最本质原因是国家和政经集团作为“大玩家”直接介入到网络攻防的游戏体系当中，而攻击的对象也变成了他国政府和其他对立的政经体系。

APT得本质是什么？

在这里我们聊一聊APT究竟是什么的问题，有一句俗话这么说，要把问题看透，看透就是说，要找到本质，APT的本质是什么？这里可以借用一个做APT攻击的一线人员的说法，他说，APT的本质就是“死死的盯住目标，没有时间限制，没有方法限制，尝试每一种可能的攻击”所以Advanced Persistent Threat 中 Persistent 是关键。

APT为何大方光彩？

传统黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。通常来讲，这种攻击方式，一般为非可持续性攻击，比如此系统当前无可利用漏洞和方法，攻击无法进行，这时候攻击者会为此目标总结定性，并结束攻击。
主与传统攻击相比，APT却不会到此结束，攻击者会暂时搁浅此系统攻击，而静静的等待时机，一周？一月？一年？甚至多年，都是可能的。然而计算机世界并没有什么系统是完美的，是决对安全的。再者APT攻击者很多时候的攻击并非针对计算机系统，而是人，人性的弱点从人类文明以来总是固有的，社工，钓鱼，欺骗等等，最后导致的结果就是，系统的沦陷，数据的失窃。在这种坚韧不拔的攻击精神下，APT成就了大批的成功攻击案例，足以震惊世界。

APT的常用手法是什么？

知己知彼，百战不殆，了解了APT的真实攻击手法，才能真正的了解APT，才能做到防患于未然。

一般攻击采用的攻击方式为，鱼叉式网络钓鱼（Spear phishing），是指只针对特定目标进行攻击的网络钓鱼攻击。当进行攻击的黑客锁定目标后，会以电子邮件的方式，假冒该公司或组织的名义发送一封难以辨真伪的电子邮件，诱使目标员工进一步登录帐号密码，使攻击者可以以此借机安装木马后门或其他间谍软件，窃取机密，或于员工时常浏览的网页中，置入病毒自动下载器（下载者），并持续更新受感染系统内之变种病毒。由于鱼叉式网络钓鱼锁定对象并非一般个人，而是特定公司、组织之成员，所以受窃资料也不是一般网络钓鱼所窃取的个人资料，而是其他高度敏感性资料，如商业机密。下图1是一次APT攻击的大概流程，下面以图1为蓝本简要介绍。

图1

1. 情报搜集
黑客透过一些公开的数据源 (Facebook、博客、微博等等) 搜寻和锁定特定人员并加以研究，然后定制攻击策略。

2. 首次突破防线，打入网络内部
首次突破防线的入侵手法，通常是透过电子邮件、实时通讯或网站顺道下载等社交工程技巧在用户系统植入零时差 (zero-day) 恶意软件。接着在系统开一个后门，网络门户因而洞开，后续渗透便轻而易举。(有时，黑客也会攻击网站的漏洞，或是直接入侵网络。)

3. 幕后操纵，通讯控制
幕后操纵 (Command & Control，简称 C&C) 服务器是黑客用来操纵受感染计算机与恶意软件以对您内部网络发动后续攻击的外部主机。

4. 内网渗透与移动
一旦进入企业网络，黑客就能进一步入侵更多计算机来搜集登入信息，提高自己的权限，让计算机永远受到掌控。

5. 重要资料发掘与搜索
黑客有许多技巧 (如端口扫瞄) 可以发掘有价数据所在的服务器或服务。

6. 资料外传
一旦搜集到敏感信息，这些数据就会汇集到内部的一个暂存服务器，然后再整理、压缩，通常并经过加密，然后外传。

APT攻击常用的RAT工具

在APT攻击中，所使用的工具与传统黑客攻击所使用的工具相比，更专，更精，它通常不具备太大的通用性，而是专注于某一个领域，比如特马，也就是远程控制，可能不具备太多功能，但在穿透防火墙方面，却要求决对精致，针对某些防火墙，都特别处理过。而漏洞也是如此，基本做到一击必杀！

这里对APT比较钟爱的远程控制做一个简要介绍。其工具为国外公开的远程控制控制其官方网站如图2所示，其软件主界面如图3所示。

图2

图3

这款远程控制软件只所以被APT攻击者广泛使用主要由如下几个原因，其一此软件较为成熟且稳定，其次此软件支持SHELLCODE的方式生成，被控制端，对杀毒软件有较强的免杀性，也方便后期针对杀毒软件的处理。最后它足够小，完全可以被植入到PDF，DOC等文档中。

APT为何难以预防？

 APT攻击者在攻击时，主要有两个比较明显特性，其一为持续性，其二为攻击目标主要以人为主。

持续性攻击为一个长期过程，每当某个系统或者软件，出现安全漏洞时，攻击者都会趁虚而入，多数计算机系与安全防御系统在一个时间内可以有效的防御攻击，但不可能长期一直有效的防御，但计算机系统与安全防御系统，出现任意时，都会导致系统的沦陷。

当攻击者从计算机系统安全无法入侵成功或无法达到想要的效果时，就会考虑针对人员下手，因为攻击者认为，当一个企业或者组织足够大时，最薄弱的环节是人，因为在众多的人员中，总一些人是没有安全意识或者安全意识比较薄弱。从这些薄弱的目标下手，总是可以拿到丰硕的成果。

当攻击者的目标主要为人时，会使大部分安全防御系统失去应有的效果。无论任何应用都是以人为主，人可以关闭一切防御，比如，当一个用户使用攻击者提供的一个游戏外挂时，杀毒软件会有报警提示，但这时，用户很可能会关闭杀毒软件，而继续运行游戏外挂，倘若这个游戏外挂中载有木马程序呢，不言而喻，攻击者会直接进入用户网络，并且为最高权限。

综上所述，APT之年以难以防御，是因为它的攻击周期较长，且攻击方法复杂，不可预测，而网络安全的木桶效应中，最短的那块木板是人，也恰恰是最容易受到攻击，并且人性的弱点是无法解决的。

传统安全防御系统有效吗？

如果细读上一节的内容，那么传统的防御系统是否有效的问题，在心中应该有一个答案了，答案总是让人那么沮丧，攻击者精心策划，采用定制的漏洞，定制的RAT控制系统，定制的攻击手法，网络的防御系统在此种定点攻击面前变的非常安静，安静到用户不知道攻击正在进行，数据正在失窃。

为什么传统的技术检测不到APT呢?这是因为传统的检测技术主要在网络边界和主机边界进行检测。在网络边界我们主要靠防火墙，而防火墙并不能识别通道上的负载是恶意的还是善意的。而IDS、IPS虽然可以识别，但是它们基于的技术是已知威胁的签名，当这个威胁发生了，我们知道了，我们去分析它的特征，然后把这个特征抽取出来，我们对它进行检测。这种方法的问题是：第一，它检测不到未知的漏洞、新的木马;第二，攻击者很容易对漏洞的定义方法和木马进行变形，就检测不到了。在主机边界，杀毒软件也存在同样的问题。这就是当前检测体系存在的最核心的问题。

云技术，可以预防APT攻击吗？

目前APT解决方案可以概括为四类：一是主机文件保护类（白名单方式控制）如bit9；二是大数据分析检测类，如RSA；三是恶意代码检测类，如FireEye；四是网络入侵检测类，如Fortinet。

云技术可以做到以白名单作为核心，首先对用户终端环境中的所有程序和文件进行全网扫描，如果是病毒、木马、蠕虫等非白名单文件，则予以处理。如果与云中的白文件库相匹配，则判允许并予以放行。与种思路与360杀毒软件的主思路不谋而合，非白即黑，策略。

不过云技术也有自身的问题，比如白名单数量，以及恶意软件利用白名单的问题，等等。

APT未来的发展趋势。

国际

2013年4月份Verizon发布的《2013年数据破坏调查报告》分析了全球47000多起数据破坏安全事故，621宗确认的数据泄漏案例，以及至少4400万份失窃的记录。《报告》指出有高达92%的数据破坏行为来自外部，有19%的数据破坏行为来自国家级别的行为，利用脆弱的或者窃取到的用户身份访问凭据进行入侵的行为占到了76%，而各种黑客行为和恶意代码依然是主要的信息破坏手段。报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。

此外，国际上，尤其是美国着重炒作来自中国的APT攻击。最典型的是Mandiant公司发布的《对APT1组织的攻击行动的情报分析报告》，将APT1攻击行动的发起者直接定位到中国军方。在美国旧金山举办的RSA2013大会上，直接以中国APT攻击为主题的报告就有6个之多。其中有一个研讨会题为《中美的网络冲突和中国网络战研究》。演讲者是《二十一世纪的中国网络战》一书的作者。这个曾经在美国研读过中文的美国人从西方的视角来分析了中国的网络战战略、战术。

以防范APT攻击为引子，各国纷纷加强国家级的网络空间安全研究、相关政策制定与发布。美国、加拿大、日本、欧盟各国、北约等国家和组织纷纷强化其网络空间安全的国家战略，其中就包括应对包括APT在内的国家级的敌对方的攻击。ENISA(欧洲网络与信息安全局)、北约CCDCOE(协作网络空间防御卓越中心)、兰德公司、欧洲智库SDA公司都对世界主要国家的网络空间安全战略思想、安全威胁特征、安全防御水平等进行了较为深入的对比分析与研究。

国内

根据CN-CERT发布的《2012年我国互联网网络安全态势综述》，我国面临的新型威胁攻击的形势还是比较严峻的。利用“火焰”病毒、“高斯”病毒、“红色十月”病毒等实施的高级可持续攻击(APT攻击)活动频现，对国家和企业的数据安全造成严重威胁。2012年，我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。

我们是谁？在干什么？

天融信阿尔法实验室，我们相信只有切实的接触攻击，才能做到最有效的防御。我们一直走在网络安全的最前沿，关注最新的攻防对抗，在攻击与防御中，寻求新的突破。

Power Pwn是一个完全集成的，企业级的渗透测试平台。继承了流行的PWN插件，该器件具有高度集成的模块化硬件设计。支持并资助由国防研究计划局（DARPA），它的目的是提供企业和安全意识的个体更便宜和更容易的手段来抵御黑客自己，为他们提供同一套工具，他们的数字袭击者。

用一个简单的浪涌保护器的外观，电源PWN不会把任何头，但裂开其谦逊的外壳，你会发现你需要运行一个全面的安全审核软件套件的一切。该装置的最大拉伸无疑是其远程执行测试的能力。安全专家可以简单地运送电力PWN到企业设施和访问设备暗中通过以太网，无线或3G / GSM蜂窝网络。

蜂窝网络功能，可以让用户通过短信在bash命令文本。甚至还有利用语音识别软件，如苹果的Siri推命令到设备的潜力。发货的Linux的Debian的6例如，电源PWN旨在使全面渗透测试更容易，更便宜的公司和安全专家。公司可以邮寄美国

1295美元硬件到他们的分支机构和开展远程网络的全面渗透测试，完全消除了差旅费。

有迹象表明，黑客可能利用该设备对预定车主的关注，但是DARPA的支持和资金应在一定程度上保证了电源PWN在好人手里牢牢保持。为了达到这个效果，Pwnie快递的首席执行官戴夫Porcello告诉有线90％的公司的客户工作的公司或联邦政府。

全面的功能和规格如下：

1. 板载高增益的802.11b / g / n无线
2. 板载高增益蓝牙（1000'）
3. 板载双以太网
4. 120 / 240V AC插座
5. 16 GB内部磁盘存储
6. 外接3G / GSM适配器
7. 全自动NAC / 802.1X / RADIUS旁路
8. 出带外SSH通过3G / GSM手机网络访问
9. 文本 - 重击：在bash文本通过短信命令
10. 与“插件UI”基于Web的管理
11. 一键邪恶AP，隐身模式，及被动侦察
12. 保持你的目标网络的持续性，隐蔽性，加密的SSH访问
13. 通过应用感知防火墙和IPS隧道
14. 支持HTTP代理，SSH-VPN，OpenVPN的＆
15. 发送电子邮件/短信提醒时，SSH隧道被激活
16. 预装的Debian 6，Metasploit的，SET，快速通道，w3af，天命，Aircrack和，SSLstrip，NMAP，水润，dsniff，Scapy的，Ettercap，蓝牙/网络电话/ IPv6的工具等。
17. 在隐身模式下无法完成ping命令，没有侦听端口。 

 这个工具很强大，O(∩_∩)O~  由Mrxn翻译发表在mrxn.net，转载请注明出处，谢谢！

原文地址：http://www.gizmag.com/power-pwn-darpa-hack-machine/23429/

自从黑客组织GOP入侵索尼影视之后，就在连续不断的制造威胁，包括泄露未上映电影、员工私人信息等。现在GOP的黑客们又开始向索尼影视的员工发送威胁邮件。

黑客们对索尼影视公司的入侵已经对该公司和其员工造成了巨大的影响。黑客组织GOP（Guardians of Peace的缩写）入侵了索尼影视，窃取了大量的公司数据，包括职员的PII、内部电话号码、设计蓝图等。攻击者可以利用这些数据继续进一步的攻击，因此其可能造成的损失和影响无法预测。

在遭到攻击之后，索尼影视立即对其做出了反应，关闭了公司的内网以清除被感染的机器，同时还要求员工不要访问公司的邮件和VPN。攻击者从索尼影视窃取了大量的敏感数据，并于上周泄露了大量的名人（包括动作明星史泰龙）、自由职业者和员工的美国社保号。

在事件发生的一周以后，攻击者在网上泄露了索尼影视未上映的5部新电影：

《Annie》、《Still Alice》、《Fury（狂怒）》、《Mr. Turner》、《To Write Love on Her Arms》。

谁在威胁索尼员工？

这两天，索尼影视公司的员工又收到了一封来自GOP组织的威胁邮件。部分邮件内容如下：

如果你不想受到伤害的话，就请在下面电子邮件的地址上签名反对该虚假公司。如果你不签，你和你的家人都将会有危险。

他们还要求员工在收到邮件之后将手机关机，索尼公司已经援求执法机构介入调查。但趋势科技的专家们称现在唯一能够确定的是攻击者入侵索尼网络使用的是格盘病毒，其余还在调查中。相信索尼影视公司现在应该已经是人心惶惶了。

威胁邮件内容

入侵索尼影视只是我们所有活动中很微不足道的一次小活动，我们的组织遍布全世界。如果你单纯的认为这一事件不久就会结束的话，

那你就大错特错了，我们会让你大跌眼镜。

这件事的起因是索尼影视，索尼影视应该对事件的结果负全责。索尼影视想摆脱我们的控制是不可能的，

它现在做的都是无用功（找来FBI调查、火眼专家的调查等）。

另外，你身边的同事或者朋友可能就是我们的一员哦！
如果你不想受到伤害的话，就请你在下面邮件地址上签名反对该虚假公司。如果你不签，你和你的家人都将会有危险。

没有人可以阻止我们的行动，如果你想阻止我们，唯一的方法就是按照我们的指示做事。