我们入侵站点的时候都想得到网站的源代码，然后分析代码，看看有没有漏洞。可是得到代码是很不容易的，正好我在一次偶然的机会中发现了一种可以看到代码的方法.

有时候我们访问某个网站能遇到这种情况：没有默认的页面而文件就暴露在我们面前，这种情况非常多。如下图1所示。这样我们就可以轻而易举的拿到网站的源代码了。

有人会说：你拿到这么一点点的源代码有什么用？说得对！这只是部分代码，要是我能拿到网站的全部源代码就好了！让我们来想想办法吧!

拿上面的站点作例子，让它的整站都变成可浏览的文件夹有什么方法呢？嘿嘿！我们打开网上邻居，然后找到左边上部的“添加一个网上邻居”。

然后会出现一个界面提示你选择位置，我们直接点“下一步”，会出现一个会话框让我们输入目标地址。这里我们是通过HTTP协议把它添加为“网上邻居”的，我们可以这样填写

然后点“下一步”，这个时候会有一段时间的等待。随便起个名字然后点“完成”，这个时候我们再去打开“网上邻居”，看！我们的网上邻居里面多了一位新客人！

我们打开它看看，到底都有些什么东东，嘿嘿!

看，所有的源文件都暴露在我们的面前了（注意：这里的文件是所有的可浏览目录下的源文件）。嘿嘿，爽吧？！这样对我们寻找数据库的位置非常有帮助。如果数据库直接在可浏览的目录下的话，我们就可以直接下载数据库了！

有时候我们在填完网站的地址后会碰到这种情况，如图7所示。

这就说明这个站点没有列出目录的权限，大家考虑其它的入侵方法吧！

安全研究人员通过在身体中植入一枚NFC芯片，绕过严密的军事和航空安检，最终入侵移动设备。这个新闻并非天方夜谭。

攻击过程

APA无线部门的安全工程师Wahle首先购买了一个可注入牲畜体内的特殊芯片，并花费40美元就能购买到一个注射器，接着利用该注射器将芯片植入胳膊或手臂。接下来，Wahle使用身体内的NFC芯片Ping附近的安卓移动设备，并试图与这些设备建立连接。

一旦建立了连接，攻击者可以向安卓设备发送恶意软件。如果受害设备安装并运行了该软件，那么攻击者就可以入侵该安卓设备。受感染的手机会尝试连接由Wahle控制的远程服务器，利用该服务器则可以提供针对该手机的更多攻击载荷和利用代码（例如Metasploit）。

绕过军事安检

你也许会认为上面的攻击方式其实并不特别，传统的攻击方式在面对严密的安检时将变得非常“脆弱”——在这些环境中即使是物联网设备（如可穿戴设备） 也是不允许的。而攻击者利用植入的NFC芯片可以很容易地绕过军事安检。虽然Wahle在美国部队服役，但是目前没有一个军事扫描仪能够探测到他在体内植 入了NFC芯片。

Wahle和安全顾问Rod Soto将在下一届BlackHat黑客大会上分享有关生物黑客攻击的更多详情，该大会将于5月份在迈阿密举办。

0x0前言

14年11月笔者在百度xteam博客中看到其公开了此前报告给Google的CVE-2014-8507漏洞细节——系统代码在处理经由短信承载的WAP推送内容时产生的经典SQL注入漏洞，影响Android 5.0以下的系统。于是对这个漏洞产生了兴趣，想深入分析看看该漏洞的危害，以及是否能够通过一条短信来制作攻击PoC。

在断断续续的研究过程中，笔者发现了SQLite的一些安全特性演变和短信漏洞利用细节，本着技术探讨和共同进步的原则，结合以前掌握的SQLite安全知识一同整理分享出来，同各位安全专家一起探讨Android平台中SQLite的安全性，如有错误之处，也请大家斧正。

0x1起：食之无味，弃之可惜

鼎鼎大名的SQL注入漏洞在服务器上的杀伤力不用多说，可惜虎落平阳被犬欺，SQL注入漏洞在Android平台长期处于比较鸡肋的状态。比较典型的漏洞例子可以参考：http://www.wooyun.org/bugs/wooyun-2014-086899

虽然Android平台大量使用SQLite存储数据导致SQL注入很常见，而SQL注入的发现也相对简单，但其危害十分有限：在无其他漏洞辅助的情况下，需要在受害者的手机上先安装一个恶意APP，通过这个恶意载体才可能盗取有SQL注入漏洞的APP的隐私数据（如图1）。很多人会说，都能够安装恶意APP了，可以利用的漏洞多了，还要你SQL注入干嘛。正是因为这个原因，导致SQL注入漏洞一直不被大家所关注。

0x2承：远程攻击的大杀器

14年TSRC平台的白帽子雪人提出了一种存在已久，在Android平台却鲜未被提起的SQL注入利用方式：load_extension。通过一些简单漏洞的配合，SQL注入漏洞可以达到远程代码执行的可怕威力。

简单来说，为了方便开发者可以很轻便的扩展功能，SQLite从3.3.6版本（http://www.sqlite.org/cgi/src/artifact/71405a8f9fedc0c2）开始提供了支持扩展的能力，通过sqlite_load_extension API（或者load_extensionSQL语句），开发者可以在不改动SQLite源码的情况下，通过动态加载的库（so/dll/dylib）来扩展SQLite的能力。

便利的功能总是最先被黑客利用来实施攻击。借助SQLite动态加载的这个特性，我们仅需要在可以预测的存储路径中预先放置一个覆盖SQLite扩展规范的动态库（Android平台的so库），然后通过SQL注入漏洞调用load_extension，就可以很轻松的激活这个库中的代码，直接形成了远程代码执行漏洞。而在Android平台中有漏洞利用经验的同学应该都很清楚，想要把一个恶意文件下载到手机存储中，有许多实际可操作的方式，例如收到的图片、音频或者视频，网页的图片缓存等。类似的案例笔者也见到过，如下图远程利用SQL注入load_extension在某APP中执行了恶意的SQLite扩展。

0x3转：攻与防的对立统一

也许是SQLite官方也意识到了load_extension API的能力过于强大，在放出load_extension功能后仅20天，就在代码中（http://www.sqlite.org/cgi/src/info/4692319ccf28b0eb）将load_extension的功能设置为默认关闭，需要在代码中通过sqlite3_enable_load_extensionAPI显式打开后方可使用，而此API无法在SQL语句中调用，断绝了利用SQL注入打开的可能性。

凑巧的是，出于功能和优化的原因，Google从 Android 4.1.2开始通过预编译宏SQLITE_OMIT_LOAD_EXTENSION，从代码上直接移除了SQLite动态加载扩展的能力（如图4）。

虽然有了以上两层安全加固，但Android平台的安全问题往往不是这么容易就能够解决的。和Android平台五花八门的机型和系统版本一样，部分手机生厂商和第三方数据库组件并未跟随官方代码来关闭自身代码中SQLite动态加载扩展的能力，默认便可以直接使用SQL注入load_extension，导致这些手机或者APP极易被远程攻击。

总结来说，利用SQLite的load_extension远程实施攻击，适用于4.1.2以前的官方Android版本，或者是部分手机厂商的机器，又或者是使用到某些第三方数据库组件的APP。客观来看，这种攻击手法的攻击面并不算宽，并会随着高版本Android的普及和手机厂商的代码跟进而越来越窄。

那么除了最直接最暴力的load_extension攻击方式之外，SQL注入是不是又变得一无是处了？在魔术师一般的安全人员手里，不管多么不起眼的攻击方式都可能被用到极致。百度xteam的CVE-2014-8507就是一个很好的例子。

0x4合：一条短信就控制你的手机

接下来，我们回到最开始的问题，如何通过一条短信来控制手机？

事实上在看到CVE-2014-8507后，笔者花费了大量时间尝试在标准Android机器中，通过彩信发送恶意so库，随后通过短信激活恶意so库的方式，来实现控制手机。最终由于SQLite自身的sqlite3_enable_load_extension保护和系统代码其他若干个方面的限制，成功在smspush进程完成SQL注入后，却没有办法进一步利用恶意so库，无法完成正在意义上的控制手机。

另外一方面，百度xteam对CVE-2014-8507的利用已经很精彩，结合WAP推送处理代码的特点利用SQL注入提供数据，完成了打开通过短信任意APP的导出Activity的攻击，结合上其他的系统或者APP漏洞，不难达到真正意义上控制手机的效果。

作为狗尾续貂的补充，接下来和大家探讨一下如何在真实手机中通过自行构造PDU给任何Android 5.0以下机器发送含有SQL注入代码的WAP推送消息。

承载攻击的是WAP推送功能，而正常的短信APP无法通过短信发出WAP推送，通过短信群发等其他运营商提供的短信接口，也无法发出WAP推送消息。笔者通过一段时间对短信PDU格式的研究后发现，在Android vendor RIL之上进行一些修改，普通的手机也能够发出WAP推送消息。下图6的sendSMS函数（http://androidxref.com/4.4.4_r1/xref/frameworks/opt/telephony/src/java/com/android/internal/telephony/RIL.java）在每次发送短信前都会被系统调用，其中的第二个参数我们可以得到完整的原始PDU，通过对PDU内容进行一些修改，我们可以把普通的短信变成WAP推送消息。在此位置进行改动，随后PDU在替换后向底层传之后，也能成功的被基带解析并发送，接收方也能成功的接受并处理。

普通短信的PDU中，包含了信息中心的号码，发送方的号码，接收方的号码，时间戳以及短信内容文本（如下图7）。而WAP推送和普通短信的最重要区别，就是WAP推送承载的是WBXML格式的多媒体消息而不是普通文本，通过修改PDU中的类型标志位并附加上WBXML格式的内容，一条合法的WAP推送消息就能成功的从手机中发出。

为了方便测试和演示，笔者写了一个转换WAP推送的Xposed模块（如下图）。激活后，通过短信APP中发送给任何人的普通短信都会自动转换成包含CVE-2014-8507 SQL注入漏洞的WAP推送，自动打开对方手机的设置界面。关键的PDU处理代码请点击这里下载，请勿用于任何非测试用途。

0x5后记：如何使APP的数据库使用更安全

从2014年腾讯整体漏洞的数据来看，跟数据库安全相关的全部都跟SQL注入漏洞有关。因此，能够封堵SQL注入漏洞，基本上就能安全的使用数据库了。下面结合历史漏洞给出以下几点安全建议供大家参考（如果是腾讯的同学就方便多了，我们终端安全团队为业务定制了数据库安全组件）：

1.   不直接使用原始SQL语句，而是使用具备预编译参数能力的SQL API；

2.   如果一定要使用原始SQL语句，语句中不应有进行任何字符串拼接的操作；

3.   如非必要，记得主动调用SQL API关闭动态加载扩展的能力；

4.   使用数据加密（如SqlCipher）扩展SQLite数据存储的安全性。

0x6相关链接

[1] http://lcx.cc/?i=4428

[2] https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8507

[3] http://xteam.baidu.com/?p=167

[4] http://www.sqlite.org/cgi/src/tree?ci=trunk

[5] https://android.googlesource.com/platform/external/sqlite/

[6] https://android.googlesource.com/platform/frameworks/base/+/android-4.4.4_r2.0.1/packages/WAPPushManager/

[7] http://androidxref.com

[8] http://www.gsm-modem.de/sms-pdu-mode.html

电影中的黑客有时会展现出这种技能：远程引爆一台电脑，杀死千里之外的敌人……可这样的情景真的能在现实中出现么？

U盘杀手的故事

地铁站里，一名男子行色匆匆。他刚偷走了地铁上一位乘客的U盘，也许他自己都觉得奇怪——怎么会有人如此马虎，大大方方的把一枚U盘挂在背包上。
男子急忙回到家里，将U盘插入自己的电脑，激动的准备探寻U盘中是否有什么机密资料……当U盘指示灯开始闪烁，突然，一阵轻烟飘起，一股焦味散出，他的电脑烧毁了……

工作原理

上面的故事来自于一位叫Dark Purple的俄罗斯研究员。自从他发现了这个研究成果后非常兴奋，并且制造出了专属的U盘炸弹。而现在，他现在正与中国某家制造电路板的厂商合作，制造他自己专属的U盘杀手。

研究人员解释道：

“当我们将它插入USB接口时，一个逆向的直流/直流模块电源（DC/DC）转换器会开始工作，把电容器变化到-110V。当电容器达到-110V电压后，直流/直流转换器会被关闭。同时，场控晶体管会开启。”

最终，Dark Purple的确实现了这个想法。当U盘杀手插入后，电脑的敏感组件很快会被破坏。

“U盘杀手可以向USB接口的信号线申请获取-110V的电压。当电容器的电压升到-7V时，晶体管会关闭，然后直流/直流模块电源启动。这个循环会一直持续到电脑崩坏为止。熟悉电子的朋友可能已经猜到，我们为什么要使用负电压。”

脑洞大开的攻击手法

在某些情况下，硬件的物理系统的损坏是无法避免的。黑客也许也可以利用SCADA漏洞，屏蔽发电厂的做的安全防护措施，将电脑置于无电力防护的状态。

Stuxnet（震网）蠕虫是一个真实的网络攻击例子，其目的是摧毁核设施的离心机。然而，这一切噩梦也始于一个特制的U盘。

在2014年，某安全公司曾在苹果电脑上展示过如何让温度控制装置失效，当然这也可以用来让机器着火。

虽然U盘杀手爆破力并不大，也许并不会对人造成人生伤害。不过当攻击技术正在不断升级，当你下次发现一个陌生的U盘时，还请小心对待。

在近日出版的解放军期刊中，中国首次公开承认在其军事组织中存在特殊信息战争部队，也就是以网络为战场的黑客部队。

很长时间以来，安全专家们坚持认为中国拥有一支非常先进的网络部队，他们负责执行一些最高级别的网络攻击，但中国政府一直否认与这些网络攻击有任何联系。2013年，Mandiant情报中心发布了一个令人震惊的报告，该报告揭示了一个名为“APT1”的企业级规模的计算机间谍活动。安全专家收集的证据将APT1与中国人民解放军第二局总参谋部第三部门（部队编号61398）联系在了一起，根据这些专家所说，该活动开始于2006年，目标瞄向了141个覆盖多个行业的企业。

公开承认拥有黑客部队

上一版解放军出版物一篇题为《军事战略的科学》的文章中，中国透露出他们已拥有实力并明确指出“专业单位致力于计算机网络发动战争”。同时，相关文档也证实了内部执法机关和情报机构的存在，它们相当于中国的CIA和FBI。

当然，政府公开承认网络部队的存在，在同他国政府的关系上，也是有其政治和外交含义的，特别是同美国之间。

专家Joe McReynolds说：

“这意味着，中国已经捅开了这层窗户纸。早在2013年，解放军官方出版物完全否认网络部队的存在，并声称中国军方从未进行过任何黑客攻击和黑客活动。但在这次公开承认之后，他们将不能再有这种说法了。”

根据McReynolds的消息，中国将他的网络部队分成了三个子部分：

1、专业军事网络战部队：“用于实施网络攻击和防御”
2、民间组织专家：“已获得军方授权，进行网络战行动”
3、外部实体：“可以组织和动员他们参与网络战争行动”

安全专家推测，上述所有团体都会从事黑客活动，这些团体会参与针对私营企业的网络间谍行动，并盗取智力资产和敏感数据。

McReynolds继续说道：

“中国现在明确承认拥有网络战部队，那么美国和其他目标国家在以后的行动中将不得不仔细权衡，冒着风险同MPS合作进行网络犯罪是否值得了。”

黑客部队非中国特有

中国只是拥有网络部队的其中一个国家，俄罗斯、朝鲜、伊朗，当然还有美国都有着强大的信息战实力。每个国家都期望在网络空间的战场上占据主动优势，安全专家认为，应该很快就会发生重大的网络攻击战争。

我联系了Bill Hagestad二世，他是最重要的国际网络情报和反情报专家之一，他对此事件做出了如下评论：

“其实，这个消息并不是什么新闻了…虽然中国黑客和中国人民解放军成为了头条新闻，但这仅仅是追求轰动效应和自我推销罢了，这对中国军事网络学说发展的研究并没有什么促进。关于中国军队使用计算机作为武器系统的理论开始于1995年的少将Wang Pu Feng。”

 不知道大家对蜜罐了解多少，服务器上的蜜罐或许很多人都知道的，WiFi蜜罐你知道多少呢？

今天就小记一下自己搭建WiFi蜜罐的一些过程和心得体会。-----寒假闭关修炼 ^_^ 更新少，但是我会把他们呢记录在doc里，

出关之时，分享给大家的。嘿嘿，下面就开始正文(所有用到的工具在后面贴出来了，此处应有掌声！)：

目的：捕获某APP的网络数据

5. 将手机设置代{过}{滤}理为fiddler机器的ip，端口为8888。

这里使用吾爱破解的客户端APP做了测试，连接此免费WIFI蜜罐后，顺利抓到需要的东西。

 只要APP使用明文传输数据，在WIFI蜜罐下均可能泄露重要信息，有人可能会说使用HTTPS传输就安全，下面将演示由于编码不规范造成的HTTPS在WIFI蜜罐下也可能被嗅探。

这段代码已经很清晰的暴露了问题。

  选择ARP

选择欺骗对象，左边选中网关，右边选择欺骗对象（也就是搭建WIFI蜜罐的机器）。

 选择HTTPS，输入需要嗅探的HTTPS IP，下载证书，然后进行欺骗。环境已经OK，然后坐等数据吧。Cain很人性化的将HTTPS请求与返回数据都捕获到了。

   从 刚开始不知道如何捕获移动端网络数据包，到最后完成一次完整的HTTP以及HTTPS数据包也是花了大概一周时间，期间遇见了不少的坑，当然也在 windows以及linux做了多次尝试，最后发现windows上面是最适合我的。现在移动端APP编码规范称次不齐，笔者已经在多款APP发现有这 些问题，在这里也提醒大家不要去连接未知的WIFI，即使写明了密码，如果实在需要连接也不要使用密码操作等敏感行为。

Tools_tcpdump_cain_fiddler_wireshark_download  

密钥：wvt4EtZ37iKwO0iS7IJ41c6lhimc7IpxPjlSAKzstR0

在此提醒大家，免费的未知WiFi，一定要小心啊！ 大家可以跟着步骤走，练习一下。请勿用于非法用途！

据第三方漏洞报告平台乌云网曝出，12306网站现用户数据泄露漏洞，大量12306用户敏感数据在互联网疯传，其中包括用户帐号、明文密码、身份证、邮箱等数据，目前泄漏途径未知。该漏洞已经提交给了国家互联网应急中心进行处理，

而今天中午12306官方网站已经第一时间在网上回复了这条消息。据官网回应，用户信息系经其他网站或渠道流出，非官方网站流出，目前公安机关已经介入调查。

以下为12306公告全文：

关于提醒广大旅客使用官方网站购票的公告

针对互联网上出现“网站用户信息在互联网上疯传”的报道，经我网站认真核查，此泄露信息全部含有用户的明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。目前，公安机关已经介入调查。

我网站郑重提醒广大旅客，为保障广大用户的信息安全，请您通过官方网站购票，不要使用第三方抢票软件购票，或委托第三方网站购票，以防止您的个人身份信息外泄。

同时，我网站提醒广大旅客，部分第三方网站开发的抢票神器中，有捆绑式销售保险功能，请广大旅客注意。

中国铁路客户服务中心

2014年12月25日 

  博主已经修改密码了..你们也速度修改吧

漏洞背景

“BadUSB”是今年计算机安全领域的热门话题之一，该漏洞由Karsten Nohl和Jakob Lell共同发现，并在今年的BlackHat安全大会上公布。BadUSB号称是世界上最邪恶的USB外设。

笔者使用他们的代码做了个类似的U盘，用户插入U盘，就会自动执行预置在固件中的恶意代码，下载服务器上恶意文件，执行恶意操作。注意，这里的U盘自动运行可不是以前的autorun.inf自动运行程序哦，具体的技术细节可以参考后文内容。

视频链接：http://v.qq.com/boke/page/l/g/w/l01425u2igw.html

BadUSB最可怕的一点是恶意代码存在于U盘的固件中，由于PC上的杀毒软件无法访问到U盘存放固件的区域，因此也就意味着杀毒软件和U盘格式化都无法应对BadUSB进行攻击。

BadUSB原理

在介绍BadUSB的原理之前，笔者在这里先介绍下BadUSB出现之前，利用HID(Human InterfaceDevice，是计算机直接与人交互的设备，例如键盘、鼠标等)进行攻击的两种类型。分别是"USB RUBBERDUCKY"和"Teensy"。

TEENSY介绍

攻击者在定制攻击设备时，会向USB设备中置入一个攻击芯片，此攻击芯片是一个非常小而且功能完整的单片机开发系统，它的名字叫TEENSY。通过TEENSY你可以模拟出一个键盘和鼠标，当你插入这个定制的USB设备时，电脑会识别为一个键盘，利用设备中的微处理器与存储空间和编程进去的攻击代码，就可以向主机发送控制命令，从而完全控制主机，无论自动播放是否开启，都可以成功。

关于TEENSY，可以参考天融信阿尔法实验室的《HID攻击之TEENSY实战》

USB RUBBER DUCKY介绍

简称USB橡皮鸭，是最早的按键注入工具，通过嵌入式开发板实现，后来发展成为一个完全成熟的商业化按键注入攻击平台。它的原理同样是将USB设备模拟成为键盘，让电脑识别成为键盘，然后进行脚本模拟按键进行攻击。

这两种攻击方式，是在BadUSB公布之前，比较流行的两种HID攻击方式，缺陷在于要定制硬件设备，通用性比较差。但是BadUSB就不一样了，它是在“USB RUBBER DUCKY”和“Teensy”攻击方式的基础上用通用的USB设备（比如U盘）。

U盘的内部构造

U盘由芯片控制器和闪存两部分组成，芯片控制器负责与PC的通讯和识别，闪存用来做数据存储；闪存中有一部分区域用来存放U盘的固件，它的作用类似于操作系统，控制软硬件交互；固件无法通过普通手段进行读取。

BadUSB就是通过对U盘的固件进行逆向重新编程，相当于改写了U盘的操作系统而进行攻击的。

USB协议漏洞

为什么要重写固件呢？下面我们可以看看USB协议中存在的安全漏洞。

现在的USB设备很多，比如音视频设备、摄像头等，因此要求系统提供最大的兼容性，甚至免驱；所以在设计USB标准的时候没有要求每个USB设备像网络设备那样占有一个唯一可识别的MAC地址让系统进行验证，而是允许一个USB设备具有多个输入输出设备的特征。这样就可以通过重写U盘固件，伪装成一个USB键盘，并通过虚拟键盘输入集成到U盘固件中的指令和代码而进行攻击。

BadUSB利用代码分析

笔者对KarstenNohl和Jakob Lell公布的代码进行简单的一个流程解析。

这样一个带有恶意代码的U盘就产生了，更详细的可以搜索Karsten Nohl 和 Jakob Lell公布的代码。

总结

“USB RUBBER DUCKY”、“TEENSY”、“BadUSB”三种最终都是利用了USB协议的漏洞而进行攻击的，“BadUSB”和另外两者的区别在于：BadUSB可以利用普通的USB设备，而不需要进行硬件定制，更具有普遍性。

HID攻击方式有很多种，BadUSB作为其中一种是通过伪装成键盘设备来实现的，同时HID攻击也可以通过伪装成网卡进行DNS劫持攻击。BadUSB的危害目前局限于单向感染，即USB设备感染PC，暂无发现从PC感染USB设备案例。

为了预防此类安全风险，需要我们在日常使用USB设备时，不要使用陌生的USB设备，避免USB存在恶意代码导致安全风险。

延伸：更多的USB接口攻击

通过USB接口攻击的案例很多，BadUSB只是一类，还有通过USB接口横跨PC和Mobile平台进行攻击的案例。

     比如今年爆发的WireLurker蠕虫，感染病毒的电脑系统会通过USB接口去间接感染iOS设备，即使是未越狱的设备也无法避免；

最近央视也报道了充电宝盗取手机隐私的案例。对于愈演愈烈的USB风险，应用层还没有见到好的解决方案。倒是硬件层面比较容易解决。比如360无线安全研究团队的SecUSB，还有我们腾讯安全应急响应中心的SecLine。原理都是将USB中的两根数据线去掉。转自freebuf

原文题目：deDacota: Toward Preventing Server-Side XSS via Automatic Code and Data Separation

原文地址：http://cs.ucsb.edu/~adoupe/static/dedacota-ccs2013.pdf

以下为译文：

Web应用持续受到各种方式的攻击。跨站脚本漏洞是最流行的漏洞之一，产生原因是不被信任的恶意数据通过浏览器提交给应用，并且被解释为程序代码，最终被浏览器执行，造成攻击。本文介绍一种方法可以高效、自动重写应用代码，实现分离网页代码和内联JS脚本，应用CSP策略避免跨站脚本漏洞的产生。

一、跨站脚本漏洞：

跨站脚本攻击（Cross-site scripting，通常简称为XSS）发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容， 使得其他网站用户在观看此网页时，这些代码注入到了用户的浏览器中执行，导致用户受到攻击。一般而言，利用跨站脚本攻击，攻击者可窃会话COOKIE从而窃取网站用户的隐私，包括密码。

跨站漏洞从利用方式来说分为反射性漏洞和存储型漏洞，发生原因是服务端对用户输入的数据没有进行适当的过滤，导致发送给浏览器的网页携带恶意脚本，从而产生漏洞。从跨站脚本产生的位置不同，又可以分为客户端跨站漏洞和服务端跨站漏洞。客户端跨站漏洞的产生不依赖于用户提交到服务器的数据，也称之为DOM-XSS漏洞。而服务端跨站漏洞依赖于用户提交到服务器的数据，本文主要的研究内容就是如何通过分离网页代码和内联JS脚本，并应用CSP的方式阻止服务端XSS攻击。

二、内容安全策略（CSP）

为了缓解很大一部分潜在的跨站脚本问题，浏览器的扩展程序系统引入了内容安全策略（CSP）的一般概念。这将引入一些相当严格的策略，会使扩展程序在默认情况下更加安全，开发者可以创建并强制应用一些规则，管理网站允许加载的内容。

CSP 以白名单的机制对网站加载或执行的资源起作用。在网页中，这样的策略通过 HTTP 头信息或者 meta 元素定义。CSP虽然提供了强大的安全保护，但是他也造成了如下问题：Eval及相关函数被禁用、内嵌的JavaScript代码将不会执行、只能通过白名单来加载远程脚本。这些问题阻碍CSP的普及，如果要使用CSP技术保护自己的网站，开发者就不得不花费大量时间分离内嵌的JavaScript代码和做一些调整，本文研究的技术可以自动化分离网页代码和内联JS脚本，帮助网站支持CSP技术从而避免潜在的跨站攻击。

三、内联JS分离技术

内联JS分离技术包含三个主要步骤：

1、 静态分析网页代码的HTML输出。

2、 从HTML页面抽取出全部内联JavaScript代码。

3、 重写应用代码以便于适应分离的内联JavaScript代码。

这项分离技术也有一些局限性，比如不能应用于混淆、加密后的代码，只针对服务端XSS漏洞，对于基于DOM的XSS漏洞完全无效。所以这项技术对于XSS漏洞来说并不是万灵药，在与CSP策略结合后只解决大部分XSS的问题，减轻了开发人员的工作量，如果想要完全防御XSS漏洞，只需针对动态产生的JS代码和DOM-XSS做过滤和检测。

以ASP.NET网页表单页面为例。

图一： 简单的ASP.NET代码

首先需要确定应用程序是如何输出内容到页面：

<%%>之前的内容会直接输出到HTML页面，并且他们都是C#代码。

<%=代表这个C#代码是变量，在程序运行时其内容会被决定，并输出到HTML页面。

从图一中可以看出，第二行定义的是常量，第三行定义的是变量，在第七行username这个变量就被输出到HTML中，作为内联JS脚本执行。

图二：被C#编译器编译后的图一中代码。

在经过C#编译后的代码中，Write函数代替了<%%>标签作为输出函数，可以将内容写到页面当中。而var username代替了<%=标记，通过第八行的Wirit(this.username)将变量内容输出到页面当中。

在第一个阶段有两个关键步骤。第一个是确定将要输出到页面的内容。第二个是确定输出函数被调用的顺序。

我们使用points-to分析算法静态分析源代码来解决这个问题。简单的说points-to算法可以确定指针与变量地址的对应关系，最初被应用于C代码的静态分析当中。这个算法可以确定变量内存储的是常量字符串还是变量。通过它就可以判断Write函数将要输出的内容是常量还是变量，也就确定了那些地方是我们需要分离的数据。

为了确定Write函数被调用的顺序，我们使用了标准的控制流程图，可以准确确定函数调用顺序。这个控制流程图是一个无回路有向图（DAG），任何从根节点出发的叶子节点都代表一个可能的页面输出。

图三：程序控制流程图

图中每个实线圈出的节点都是直接输出常量到页面中，虚线圈出的节点是变量输出到节点，该节点值由程序动态决定。

在第二个阶段，我们使用之前生成的有向图精确地分离内联Javascript代码。从根节点出发到达的每个叶子节点都代表一个潜在的页面输出。我们使用一个递归算法递归全部的路径，对每个输出字符串进行识别，从而分离出Javascript代码。在这个过程中可能产生路径爆炸问题，因为即使一些很简单的代码也可能产生大量的逻辑路径，导致遍历失败。我们通过两种方法解决这个问题，第一个就是忽略注释代码。第二个是在每一对Javascript标记中处理不同路径，减少一次性处理的范围。当全部的内联Javascript代码都被识别之后，我们将结果传入下一个阶段——代码重写。

第三个阶段将全部内联Javascript代码与HTML代码分离，将他们存入外部Javascript文件中。原来写Javascript代码的地方被替换为<script src=”External.js”></script>这种形式。程序依照以下流程来重写应用：首先检查Wirte函数中要输出的内容，如果包含Javascript的开始标记，就使用SESSION标记指明这个地方含有内联Javascript代码，重写功能就会先移除这个Javascript标记然后将JS代码内容存入Session缓冲区，并且保持SESSION标记是唯一的，当程序读取到JS结束标记后，删除这个标记，一个内联JS就完整的与代码分离了。之后这个过程一直重复，直到内联JS代码全部被存入Session缓冲区为。最后对每个session缓冲区区hash值，作为外部JS文件名称，以便程序调用。

图四：重写之后的代码。

执行完这些步骤我们已经可以完全分离了内联JS脚本，如果其中的脚本仅仅是静态产生的JS脚本，那么网站在应用CSP后就可以完全防御XSS攻击的威胁。但是内联JS脚本中还有动态产生的脚本，将这些脚本仅仅分离到外部JS文件不能防御XSS攻击。比如针对图一中的代码。如果输入username=””;alert(‘xss’)//;那么最终在浏览器执行的脚本会是<script> var username=””;alert(‘xss’)//”;></script>，依然产生跨站威胁。这种跨站威胁应用我们的处理流程是不能完全根除的，因为这是服务端跨站漏洞。但是我们为了减轻动态脚本产生XSS漏洞的可能性，采取了两个处理方法。第一个方法是标记并记录动态脚本，方便人工评估动态产生的脚本是否包含漏洞。第二个方法是定制相应的过滤方法，对动态输出的内容进行转义、过滤。这两个方法只能减轻动态JS脚本产生XSS漏洞的可能性，但不能完全杜绝，这也就是为什么本文主要针对服务端XSS漏洞。

四、评估与实验

实验主要评估该方法的三个方面，第一个是抵御XSS攻击的效果，第二个是重写后的应用源代码是否会产生异常，第三个是重写应用代码对应用性能的影响。

实验选取了以下应用作为实验对象：

图五：选取的实验对象。

实验对象选取的条件主要是以下三点：

1、 应用程序开源。

2、 应用包含已知的XSS漏洞。

3、 应用代码没有经过混淆、加密。

因为ASP.NET开源项目很少，所以最后满足条件的项目只有这6个。这些项目有MVC框架的也有非MVC框架，并包含一定量的代码行数（LOC），满足我们的实验条件。

五、    实验结果：

当内联JS代码分离完成及应用了CSP策略后，我们手工的使用EXP对网站进行攻击，原始应用都产生了漏洞，但经过流程处理后的应用都防御了攻击。为了检测处理后的网站时候会产生错误，我们采取手工测试的方法，对每个页面的功能进行检测，最后发现没有任何错误产生。在图六中我们可以看到不同应用的JS分布。安全动态JS指程序识别出动态生成的JS输出内容并进行清理转义，已经安全。不安全的动态JS是我们不能正确识别的，仅进行记录并分离到外部JS文件中。图中（4）标记代表在ASP.NET框架编译程序时会自动产生4个JS脚本，这是我们不可控的元素，不作考虑。最后我们测试了应用性能，结果显示内联JS代码分离可根据内联JS代码使用数量的多少，适当减小页面代码，加速页面加载速度。对于内联JS使用较少的页面会产生反效果，但是不会产生较大影响。

图六：内联JS分离完成后的文件分布。

图七：内联JS分离完成后页面大小及响应时间对比。

六、总结与不足：

这项技术主要通过结合CSP策略来防御XSS攻击，根据我们的实验结果，该项技术已经达到一定的实际应用水平，可以抵御服务端XSS攻击并且不影响程序的执行结果和网站效率。

这项分离技术也存在一些局限性，比如不能应用于混淆、加密后的代码，只针对服务端XSS漏洞，对于基于DOM的XSS漏洞完全无效。虽然这个方法已经基本可以应用到实际场景当中，但是程序获得内联JS的方法还需要持续改进。目前对于复杂的框架模板比如PHP经常使用的框架Thinkphp，不修改原有程序就识别内联JS脚本存在困难。但是只要解决了输出是如何被应用创建的，和怎样重写应用这两个问题，那么这项技术就可以应用于该框架。对于不同的框架需要不同的定制，对框架通用性较差。

为何会有APT？

2013年4月份Verizon发布的《2013年数据破坏调查报告》报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。

在木马病毒泛滥时代的地下经济驱动中，各个国家均是地下经济体系和恶意代码的受害者。而APT出现的最本质原因是国家和政经集团作为“大玩家”直接介入到网络攻防的游戏体系当中，而攻击的对象也变成了他国政府和其他对立的政经体系。

APT得本质是什么？

在这里我们聊一聊APT究竟是什么的问题，有一句俗话这么说，要把问题看透，看透就是说，要找到本质，APT的本质是什么？这里可以借用一个做APT攻击的一线人员的说法，他说，APT的本质就是“死死的盯住目标，没有时间限制，没有方法限制，尝试每一种可能的攻击”所以Advanced Persistent Threat 中 Persistent 是关键。

APT为何大方光彩？

传统黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。通常来讲，这种攻击方式，一般为非可持续性攻击，比如此系统当前无可利用漏洞和方法，攻击无法进行，这时候攻击者会为此目标总结定性，并结束攻击。
主与传统攻击相比，APT却不会到此结束，攻击者会暂时搁浅此系统攻击，而静静的等待时机，一周？一月？一年？甚至多年，都是可能的。然而计算机世界并没有什么系统是完美的，是决对安全的。再者APT攻击者很多时候的攻击并非针对计算机系统，而是人，人性的弱点从人类文明以来总是固有的，社工，钓鱼，欺骗等等，最后导致的结果就是，系统的沦陷，数据的失窃。在这种坚韧不拔的攻击精神下，APT成就了大批的成功攻击案例，足以震惊世界。

APT的常用手法是什么？

知己知彼，百战不殆，了解了APT的真实攻击手法，才能真正的了解APT，才能做到防患于未然。

一般攻击采用的攻击方式为，鱼叉式网络钓鱼（Spear phishing），是指只针对特定目标进行攻击的网络钓鱼攻击。当进行攻击的黑客锁定目标后，会以电子邮件的方式，假冒该公司或组织的名义发送一封难以辨真伪的电子邮件，诱使目标员工进一步登录帐号密码，使攻击者可以以此借机安装木马后门或其他间谍软件，窃取机密，或于员工时常浏览的网页中，置入病毒自动下载器（下载者），并持续更新受感染系统内之变种病毒。由于鱼叉式网络钓鱼锁定对象并非一般个人，而是特定公司、组织之成员，所以受窃资料也不是一般网络钓鱼所窃取的个人资料，而是其他高度敏感性资料，如商业机密。下图1是一次APT攻击的大概流程，下面以图1为蓝本简要介绍。

图1

1. 情报搜集
黑客透过一些公开的数据源 (Facebook、博客、微博等等) 搜寻和锁定特定人员并加以研究，然后定制攻击策略。

2. 首次突破防线，打入网络内部
首次突破防线的入侵手法，通常是透过电子邮件、实时通讯或网站顺道下载等社交工程技巧在用户系统植入零时差 (zero-day) 恶意软件。接着在系统开一个后门，网络门户因而洞开，后续渗透便轻而易举。(有时，黑客也会攻击网站的漏洞，或是直接入侵网络。)

3. 幕后操纵，通讯控制
幕后操纵 (Command & Control，简称 C&C) 服务器是黑客用来操纵受感染计算机与恶意软件以对您内部网络发动后续攻击的外部主机。

4. 内网渗透与移动
一旦进入企业网络，黑客就能进一步入侵更多计算机来搜集登入信息，提高自己的权限，让计算机永远受到掌控。

5. 重要资料发掘与搜索
黑客有许多技巧 (如端口扫瞄) 可以发掘有价数据所在的服务器或服务。

6. 资料外传
一旦搜集到敏感信息，这些数据就会汇集到内部的一个暂存服务器，然后再整理、压缩，通常并经过加密，然后外传。

APT攻击常用的RAT工具

在APT攻击中，所使用的工具与传统黑客攻击所使用的工具相比，更专，更精，它通常不具备太大的通用性，而是专注于某一个领域，比如特马，也就是远程控制，可能不具备太多功能，但在穿透防火墙方面，却要求决对精致，针对某些防火墙，都特别处理过。而漏洞也是如此，基本做到一击必杀！

这里对APT比较钟爱的远程控制做一个简要介绍。其工具为国外公开的远程控制控制其官方网站如图2所示，其软件主界面如图3所示。

图2

图3

这款远程控制软件只所以被APT攻击者广泛使用主要由如下几个原因，其一此软件较为成熟且稳定，其次此软件支持SHELLCODE的方式生成，被控制端，对杀毒软件有较强的免杀性，也方便后期针对杀毒软件的处理。最后它足够小，完全可以被植入到PDF，DOC等文档中。

APT为何难以预防？

 APT攻击者在攻击时，主要有两个比较明显特性，其一为持续性，其二为攻击目标主要以人为主。

持续性攻击为一个长期过程，每当某个系统或者软件，出现安全漏洞时，攻击者都会趁虚而入，多数计算机系与安全防御系统在一个时间内可以有效的防御攻击，但不可能长期一直有效的防御，但计算机系统与安全防御系统，出现任意时，都会导致系统的沦陷。

当攻击者从计算机系统安全无法入侵成功或无法达到想要的效果时，就会考虑针对人员下手，因为攻击者认为，当一个企业或者组织足够大时，最薄弱的环节是人，因为在众多的人员中，总一些人是没有安全意识或者安全意识比较薄弱。从这些薄弱的目标下手，总是可以拿到丰硕的成果。

当攻击者的目标主要为人时，会使大部分安全防御系统失去应有的效果。无论任何应用都是以人为主，人可以关闭一切防御，比如，当一个用户使用攻击者提供的一个游戏外挂时，杀毒软件会有报警提示，但这时，用户很可能会关闭杀毒软件，而继续运行游戏外挂，倘若这个游戏外挂中载有木马程序呢，不言而喻，攻击者会直接进入用户网络，并且为最高权限。

综上所述，APT之年以难以防御，是因为它的攻击周期较长，且攻击方法复杂，不可预测，而网络安全的木桶效应中，最短的那块木板是人，也恰恰是最容易受到攻击，并且人性的弱点是无法解决的。

传统安全防御系统有效吗？

如果细读上一节的内容，那么传统的防御系统是否有效的问题，在心中应该有一个答案了，答案总是让人那么沮丧，攻击者精心策划，采用定制的漏洞，定制的RAT控制系统，定制的攻击手法，网络的防御系统在此种定点攻击面前变的非常安静，安静到用户不知道攻击正在进行，数据正在失窃。

为什么传统的技术检测不到APT呢?这是因为传统的检测技术主要在网络边界和主机边界进行检测。在网络边界我们主要靠防火墙，而防火墙并不能识别通道上的负载是恶意的还是善意的。而IDS、IPS虽然可以识别，但是它们基于的技术是已知威胁的签名，当这个威胁发生了，我们知道了，我们去分析它的特征，然后把这个特征抽取出来，我们对它进行检测。这种方法的问题是：第一，它检测不到未知的漏洞、新的木马;第二，攻击者很容易对漏洞的定义方法和木马进行变形，就检测不到了。在主机边界，杀毒软件也存在同样的问题。这就是当前检测体系存在的最核心的问题。

云技术，可以预防APT攻击吗？

目前APT解决方案可以概括为四类：一是主机文件保护类（白名单方式控制）如bit9；二是大数据分析检测类，如RSA；三是恶意代码检测类，如FireEye；四是网络入侵检测类，如Fortinet。

云技术可以做到以白名单作为核心，首先对用户终端环境中的所有程序和文件进行全网扫描，如果是病毒、木马、蠕虫等非白名单文件，则予以处理。如果与云中的白文件库相匹配，则判允许并予以放行。与种思路与360杀毒软件的主思路不谋而合，非白即黑，策略。

不过云技术也有自身的问题，比如白名单数量，以及恶意软件利用白名单的问题，等等。

APT未来的发展趋势。

国际

2013年4月份Verizon发布的《2013年数据破坏调查报告》分析了全球47000多起数据破坏安全事故，621宗确认的数据泄漏案例，以及至少4400万份失窃的记录。《报告》指出有高达92%的数据破坏行为来自外部，有19%的数据破坏行为来自国家级别的行为，利用脆弱的或者窃取到的用户身份访问凭据进行入侵的行为占到了76%，而各种黑客行为和恶意代码依然是主要的信息破坏手段。报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。

此外，国际上，尤其是美国着重炒作来自中国的APT攻击。最典型的是Mandiant公司发布的《对APT1组织的攻击行动的情报分析报告》，将APT1攻击行动的发起者直接定位到中国军方。在美国旧金山举办的RSA2013大会上，直接以中国APT攻击为主题的报告就有6个之多。其中有一个研讨会题为《中美的网络冲突和中国网络战研究》。演讲者是《二十一世纪的中国网络战》一书的作者。这个曾经在美国研读过中文的美国人从西方的视角来分析了中国的网络战战略、战术。

以防范APT攻击为引子，各国纷纷加强国家级的网络空间安全研究、相关政策制定与发布。美国、加拿大、日本、欧盟各国、北约等国家和组织纷纷强化其网络空间安全的国家战略，其中就包括应对包括APT在内的国家级的敌对方的攻击。ENISA(欧洲网络与信息安全局)、北约CCDCOE(协作网络空间防御卓越中心)、兰德公司、欧洲智库SDA公司都对世界主要国家的网络空间安全战略思想、安全威胁特征、安全防御水平等进行了较为深入的对比分析与研究。

国内

根据CN-CERT发布的《2012年我国互联网网络安全态势综述》，我国面临的新型威胁攻击的形势还是比较严峻的。利用“火焰”病毒、“高斯”病毒、“红色十月”病毒等实施的高级可持续攻击(APT攻击)活动频现，对国家和企业的数据安全造成严重威胁。2012年，我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。

我们是谁？在干什么？

天融信阿尔法实验室，我们相信只有切实的接触攻击，才能做到最有效的防御。我们一直走在网络安全的最前沿，关注最新的攻防对抗，在攻击与防御中，寻求新的突破。